MDS: le nuove vulnerabilità per le CPU Intel

2

Vi ricordate Spectre e Meltdown che per tutto il 2018 ci hanno perseguitati con (brutte) notizie quasi tutti i giorni?

Bene, secondo recenti ricerche abbiamo qualcosa di nuovo di cui preoccuparci… e potenzialmente anche più pericoloso.

Questa nuova gamma di vulnerabilità affligge sempre i processori Intel, prodotti dal 2008 in avanti, ed è stata battezzata ufficialmente MDS (Microarchitectural Data Sampling). Visto che le varie falle sono state individuate da diversi team di ricercatori sparsi per il globo, ci sono anche vari alias per identificarle: Zombieload, RIDL (Rogue In-Flight Data Load), Store-to-Leak Forwarding e Fallout.

Ma perché più pericolose di Meltdown e compagni? Perché, sempre tramite l’esecuzione speculativa, questi bug permetterebbero di accedere al contenuto del buffer della CPU e leggerne i dati.

Certo, l’uso pratico di queste falle è estremamente complesso e per giunta non è possibile “selezionare” quali dati estrapolare dal buffer.

Come ci si aspettava, è partito da parte di produttori OEM e sviluppatori il rilascio di patch per il microcode per mitigare questi bug, in attesa del fix vero e proprio sulle CPU.

Intel, come per Meltdown e Spectre, assicura che la stragrande maggioranza dei PC non risentirà di queste patch, in termini di prestazioni, mentre qualche impatto potrebbero averlo invece infrastrutture più grosse, come i datacenter.

Dall’altro lato, AMD ha rilasciato una nota in cui informa che le loro CPU (anche ARM) non risulterebbero suscettibili ad MDS.

Anche la risposta dal mondo Linux non si fa attendere: FreeBSD è la prima distro per cui è stata rilasciata una patch per MDS.

Curiosi di sapere quanto siete vulnerabili? VUSec ha rilasciato un tool per Windows e Linux, disponibile anche come sorgente su Github.

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.