Dopo aver appreso che quasi tutte le CPU più diffuse al mondo prestano al fianco agli attacchi Meltdown e Spectre (con Intel che sulla graticola più di altri), aver assimilato le tante informazioni ed esserci ripresi dallo shock iniziale, torniamo a parlare del bug dei microprocessori mettendo insieme le informazioni più rilevanti delle ultime ore.
La prima è che Apple ha confermato di aver implementato correttivi per la vulnerabilità Meltdown con i sistemi operativi iOS 11.2, macOS 10.13.2 (update: anche macOS 10.12 Sierra e OS X 10.11 El Capitan) e tvOS 11.2, ma ulteriori fix arriveranno con Safari (e altre versioni dei SO) nel prossimo futuro per proteggere i propri prodotti dalla vulnerabilità Spectre. Apple ha confermato che le vulnerabilità interessano tutti i dispositivi usciti sul mercato sinora basati su iOS e macOS, quindi iPhone, iPod, iPad, MacBook e iMac. Eccezione gli Apple Watch (watchOS), immuni al problema Meltdown ma non a Spectre.
Apple ha poi rassicurato dicendo che al momento "non ci sono exploit noti che impattino sui clienti" e allo stesso tempo consiglia di installare software e app solo da fonti ufficiali come i suoi App Store.
Da sottolineare che Apple parla di versioni di sistema operativo non installabili su molti dei prodotti ancora in uso, in particolare per quanto riguarda iOS. Non è chiaro se l'azienda rilascerà correttivi per gli iOS precedenti (almeno per il 10 sarebbe gradito!).
Per quanto riguarda le prestazioni dei propri prodotti, Apple dichiara che nel caso di Meltdown i cambiamenti per mitigare il problema apportati a dicembre "non hanno portato a una riduzione misurabile delle prestazioni di macOS e iOS". L'azienda ha fatto dei test con GeekBench 4, Speedometer, JetStream e ARES-6.
Per quanto riguarda Spectre, che Apple definisce una falla "estremamente difficile da sfruttare", anche in questo caso l'impatto dovrebbe essere pari a zero o comunque minimo. Apple parla di nessun impatto nei test Speedometer e ARES-6 e un calo del 2,5% nel benchmark JetStream.
Nella serata di ieri, dopo una prima risposta all'ondata iniziale di notizie, è tornata a parlare anche Intel. La casa di Santa Clara ha pubblicato due note stampa. Nella prima dice che ha sviluppato e sta rapidamente distribuendo aggiornamenti per tutti i tipi di sistemi basati su Intel, dai PC ai server, per "rendere quei sistemi immuni da entrambi gli exploit indicati da Google Project Zero".
L'azienda afferma di aver già distribuito aggiornamenti per la maggior parte dei processori introdotti negli ultimi 5 anni. "Entro la fine della prossima settimana ci aspettiamo di distribuire update per oltre il 90% dei processori introdotti negli ultimi 5 anni. Inoltre, molti fornitori di sistemi operativi, di servizi di cloud pubblico, produttori di dispositivi e altri hanno detto di aver già aggiornato i loro prodotti e servizi".
Intel continua a credere che l'impatto prestazionale sia altamente dipendente dal carico di lavoro e che per l'utente medio non sia rilevante. Comunque sarà sempre di più appianato con il tempo. La seconda nota stampa è invece un collage di dichiarazioni di Apple, Amazon, Google (che nel mentre ha svelato una tecnica di mitigazione a bassissimo impatto chiamata "Retpoline") e Microsoft in cui sostanzialmente si cerca di smontare le paure verso drastici cali prestazionali.
Insomma, per proteggervi non vi resta che aggiornare tutti i software - dai browser al sistema operativo, fino agli antivirus - ma anche i BIOS. La distribuzione dei fix implementati da Intel sta infatti per esempio ai produttori di computer e a quelli di motherboard. Controllate i siti delle varie aziende o usate i tanti software automatici a vostra disposizione.
Microsoft ha fatto sapere che distribuirà aggiornamenti all'UEFI dei seguenti prodotti: Surface Pro 3, Surface Pro 4, Surface Book, Surface Studio, Surface Pro Model 1796, Surface Laptop, Surface Pro with LTE Advanced e Surface Book 2.
Il CEO di Intel e la vendita delle azioni
Ieri ho fatto due chiacchiere con alcuni lettori che nei commenti che facevano notare come il CEO di Intel, Brian Krzanich, avesse venduto centinaia di migliaia di azioni Intel sul finire di novembre. Si parla di un valore pari a circa 39 milioni di dollari. Una vendita praticamente totale, dato che al CEO sono rimaste 250.000 azioni, quelle minime richieste dal suo ruolo dirigenziale.
Per molti questa vendita di azioni rappresenta un comportamento altamente sospetto, dato che all'atto di vendita Intel sapeva da mesi - da giugno - delle falle di sicurezza. È chiaramente una di quelle di situazioni in cui chi vuole vederci del torbido ci vede del torbido.
Noi dobbiamo rimanere ai fatti e per questo registriamo che Krzanich e Intel dicono che la vendita era pianificata da tempo (30 ottobre) e che lui non ha poi più avuto controllo, una volta deciso quando vendere, sul processo - del tutto automatico.
"Per me 250.000 azioni sono un bel po' di azioni da avere", ha aggiunto. "Sono un forte sostenitore delle azioni di Intel. Rappresentano una grande quantità del mio patrimonio netto e sono entusiasta per il futuro di Intel".
"La vendita di azioni di Brian non è collegata [alle vulnerabilità, ndr]", ha affermato un rappresentante di Intel. "Krzanich continua ad avere azioni in accordo alle linee guida aziendali".
La vendita di azioni della propria società da parte dei CEO è cosa comune in quanto prevista dalla legge statunitense. Si parla nello specifico di planned divestiture program (PDP), un programma di vendita delle azioni pianificato pensato per evitare di essere accusati di insider trading nel caso in cui qualcosa accadesse nel momento in cui si vendono alcune azioni.
Purtroppo per Krzanich, le tempistiche e il fatto che abbia venduto così tante azioni, solleva dei dubbi. Dubbi che però, se lo vorranno, saranno le autorità competenti ad approfondire e non la Santa Inquisizione del Web, a cui non restano al momento che mere speculazioni e chiacchiere da bar. Ovviamente se ci saranno sviluppi sotto questo profilo, sarete prontamente aggiornati sui fatti.
Primi test sull'impatto prestazionale
Per concludere, molti si stanno domandando se, al di fuori della sicurezza, quanto dicono le aziende del settore sia vero. L'impatto prestazionale legato ai correttivi sarà nullo, minimo o catastrofico come paventato inizialmente? Tenendo sempre bene a mente che dipende dal carico di lavoro, due siti (TechSpot e Guru3D) hanno fatto alcuni test con i correttivi distribuiti per Windows.
RetroWare - Pentium I FDIV bug: piccolo errore, danno enorme
Un test "prima e dopo" fatto su configurazioni moderne che permette di capire sostanzialmente una cosa: gli utenti desktop tradizionali e i videogiocatori non devono preoccuparsi di perdere prestazioni. Questo è almeno ciò che dicono i primi test. Si è notato invece un calo prestazionale variabile con benchmark che misurano le prestazioni in lettura 4K da parte degli SSD, ma secondo Guru3D si parla di un 3% circa.
Ulteriori test, magari su vecchi sistemi dual-core, potrebbero far emergere dati diversi, ma al momento l'utente PC tradizionale non deve preoccuparsi troppo. Questa affermazione ovviamente non vale per la platea professionale, l'ambito server per intenderci, dove ogni infrastruttura dovrà essere sottoposta a test mirati.