Google e Microsoft scoprono una nuova vulnerabilità nei processori. Intel conferma.

Il 2018 sarà certamente ricordato come l’annus horribilis per i processori. Google e Microsoft annunciano la scoperta, da parte dei loro tecnici, di una nuova vulnerabilità nelle CPU, molto simile a Meltdown e Spectre: Verificare se il processore in uso è vulnerabile a Meltdown e Spectre.

La falla di sicurezza appena venuta a galla è stata battezzata Speculative Store Bypass e ancora una volta fa leva sulla cosiddetta esecuzione speculativa, tecnica utilizzata dai processori per ridurre “il costo” delle operazioni di salto condizionato.
Quando viene rilevata un’istruzione di salto condizionato, la CPU cerca di pronosticare quale sarà verrà verosimilmente percorsa (predizione delle diramazioni). Se la stima dovesse successivamente rivelarsi errata, tutti i calcoli eseguiti a partire dal salto condizionato vengono automaticamente scartati.

La vulnerabilità scoperta da Google e Microsoft permette a un aggressore di sfruttare l’esecuzione speculativa per leggere valori contenuti in memoria accedendo allo stack della CPU o ad altre locazioni.

Intel ha confermato l’esistenza del problema e anzi ha già distribuito ai produttori hardware una versione “beta” dei nuovi aggiornamenti del microcode. Disattivando la protezione Speculative Store Bypass, la maggior parte degli utenti non rileverà alcun decadimento prestazionale; cosa che potrebbe essere invece notata eseguendo ad esempio un qualunque benchmark.

Lasciando attiva Speculative Store Bypass, i tecnici di Intel affermano di aver rilevato – utilizzando 3D Mark – un decadimento prestazionale tra il 2% e l’8% dopo l’installazione della patch.

Gli amministratori di sistemi saranno quindi chiamati a scegliere tra le massime performance e il massimo livello di sicurezza.
La lista completa dei processori Intel affetti dalla nuova vulnerabilità è riportata in questo documento di supporto.