Si chiama Lazy FP state restore la nuova vulnerabilità che interessa i microprocessori Intel Core e Xeon. Non siamo di fronte a un problema simile a Spectre e Meltdown per gravità, infatti viene indicato come di livello "moderato", ma è comunque un nuovo esempio di come il tema della sicurezza in campo hardware abbia assunto in questi mesi una rilevanza centrale, tanto da indurre Intel a creare un apposito programma di "caccia ai bug" per le vulnerabilità side channel.
In estrema sintesi la falla consente di sottrarre dati sensibili dalle unità matematiche del chip. Malware e malintenzionati con accesso al sistema possono perciò tentare di sfruttare questa falla insita nel progetto dei chip per rubare informazioni e risultati dei calcoli svolti privatamente da altri software.
Queste informazioni, archiviate in registri FPU (floating point unit), potrebbero servire per ottenere parti delle chiavi crittografiche usate per rendere sicuri i dati nel sistema. Per esempio le istruzioni di codifica e decodifica AES di Intel usano i registri FPU per salvare le relative chiavi.
Come scritto in apertura, la vulnerabilità è di livello moderato e richiede la presenza di software maligno sul sistema. Probabilmente i software che usiamo quotidianamente hanno falle ben peggiori, quindi non è necessario allarmarsi troppo. Il fix della falla non richiede come Spectre e Meltdown un aggiornamento del microcode.
Le versioni moderne di Linux (dal kernel 4.9 in poi) e Windows, incluso Server 2016, così come le ultime versioni di OpenSD e DragonflyBSD non sono interessate da questa falla (CVE-2018-3665).
Windows Server 2008 richiederà probabilmente un aggiornamento e così anche altri sistemi operativi precedenti. Il team kernel di Linux sta lavorando per integrare le mitigazioni nei kernel pre-4.9.
La cosa curiosa è che la soluzione al problema richiede il passaggio a un meccanismo chiamato eager FPU state restore, proprio quello che usano le versioni moderne di Linux, Windows e altri kernel, ed è un fix che non comporta problemi per le prestazioni, anzi può aumentarle.
Leggi anche: CPU Intel con fix hardware per Spectre e Meltdown, dettagli
Intel è stata allertata del problema da alcuni ricercatori di sicurezza indipendenti e anche una persona di Amazon. "Il problema, noto come Lazy FP state restore, è molto simile a Spectre Variant 3a. È già stato risolto da anni sui sistemi operativi e software hypervisor usati da molti prodotti client e datacenter. I nostri partner industriali stanno lavorando su aggiornamenti software per risolvere questo problema per gli ambienti ancora coinvolti e ci aspettiamo che questi update arrivino nelle prossime settimane", ha annunciato il colosso di Santa Clara. Al momento non ci sono informazioni circa l'esistenza di codice exploit.
Intel non deve solo difendersi dalle falle di sicurezza, ma anche dalla concorrenza. Un processore come il Ryzen 5 2600 rappresenta un formidabile contendente.