Processori e falle di sicurezza: non c’è solo Intel a tremare per Meltdown e Spectre
Dopo la notizia di ieri sulla grave vulnerabilità dei processori Intel x86 prodotti negli ultimi dieci anni, torniamo sull’argomento perché nuove rivelazioni stanno portando a uno scenario ancora più grave e potenzialmente catastrofico di quanto si pensasse. La prima novità delle ultime ore è che le falle di sicurezza dei processori sono due e non più solo una come si pensava fino a ieri e che, soprattutto, il problema riguarda miliardi di processori, compresi quelli a bordo di smartphone, auto e dispositivi embedded.
La vulnerabilità Meltdown è quella di cui abbiamo parlato ieri e colpisce solo i processori Intel x86. La patch per risolverla (almeno che non si voglia cambiare direttamente il processore con uno AMD) comporta un rallentamento delle prestazioni della CPU patchata, che la stessa Intel ha definito quasi impercettibile per gli utenti consumer senza però specificare quanto il calo prestazionale impatti su ambienti data-center o comunque in ambiti (come la virtualizzazione) che fanno un uso intenso della CPU.
Fin qui nulla di nuovo. La vera svolta delle ultime ore si chiama però Spectre, una seconda falla ben più grave perché colpisce praticamente qualsiasi processore realizzato dal 1995 a oggi (e si parla quindi, come già detto, di miliardi di CPU). In questo caso la spinta dei produttori di CPU (AMD, Intel, ARM e altri) a realizzare processori sempre più veloci senza tenere conto di un fattore chiave come la sicurezza ha fatto sì che Spectre non si possa risolvere con un’unica patch.
Va infatti ripensato al modo stesso in cui vengono realizzate le CPU e questo, come è facile capire, significa anni (8-10 secondi gli esperti) in cui il mercato dei processori verrà completamente stravolto. Nel caso di Spectre (per fortuna) la creazione di un exploit per sfruttare la vulnerabilità dei processori non è così semplice come per Meltdown, che di fatto richiede anche solo un codice javascript in una pagina web per accedere alla memoria e inviare dati su un server remoto.
Una situazione teoricamente esplosiva (si pensi ad esempio alla vulnerabilità per i server che gestiscono ospedali, banche e sistemi di difesa) di fronte alla quale i produttori software si stanno già muovendo. Per Meltdown Microsoft ha già rilasciato una patch per Linux e per i datacenter, mentre per Windows 10 è già disponibile la patch KB4056892 e Apple chiuderà definitivamente la falla con l’aggiornamento a macOS 10.13.3 (ancora nessun aggiornamento invece per Windows 7 e 8.1).
Ben più complessa la situazione per quanto riguarda Spectre, anche perché non è ipotizzabile il ritiro dal mercato di tutti i processori in vendita (e per quelli “nuovi” quanto si dovrà aspettare?). Non rimane quindi che affidarsi a patch per singoli software per fare in modo che le informazioni raccolte da un’applicazione non finiscano nella zona di memoria condivisa che può essere letta sfruttando la vulnerabilità.
Google si è già mossa su questo versante, aggiornando tutti i suoi servizi cloud e attivando per Chrome 63 (in vista della versione 64 che dovrebbe sistemare il problema) la funzione Site Isolation. Anche Android è teoricamente a rischio e anche se Google ha già patchato la falla negli aggiornamenti di sicurezza di gennaio, sappiamo bene come solo una piccolissima parte di smartphone Android riceva gli aggiornamenti di sicurezza.
Per ora la situazione è questa, ma trattandosi di una scoperta così recente aspettiamoci nuovi sviluppi su base quotidiana, anche perché si tratta della più grave vulnerabilità di sempre per quanto riguarda i processori.