Dopo le prime indiscrezioni degli ultimi giorni, in queste ore il baco dei chip Intel si è trasformato in una nuova tempesta informativa destinata a coinvolgere – in un modo o nell’altro – l’intero settore tecnologico. Santa Clara non è l’unica azienda interessata al problema, mentre le patch in arrivo sono copiose e i benchmark prefigurano scenari contraddittori in merito agli effetti degli aggiornamenti sulle prestazioni.
I bug scoperti da un team di ricercatori (Google Project Zero, Cyberus Technology, Graz University of Technology) sono tre, classificati rispettivamente come Variante 1, Variante 2 e Variante 3. La Variante 1 (CVE-2017-5753) riguarda un problema di bounds check bypass , la Variante 2 (CVE-2017-5715) presta il fianco a una branch target injection e la Variante 3 (CVE-2017-5754) permette di accedere alla memoria cache della CPU in maniera inappropriata. Complessivamente, i bug sono noti come Meltdown (Variante 3) e Spectre (Variante 1 e 2) .
Meltdown è il più grave dei bug, ed è quello che è stato reso noto dalle indiscrezioni dei giorni scorsi; gli effetti più nefasti della vulnerabilità sono stati individuati sulle microarchitetture x86 dei chip Intel, ovvero su quelli capaci di eseguire le istruzioni software in maniera non sequenziale (“out-of-order”) grazie alla predizione speculativa gestita direttamente in hardware.
Si parla, in sostanza, di una vulnerabilità che potenzialmente interessa tutte le CPU di Santa Clara prodotte dal 1995 (Pentium) in poi a esclusione di Itanium e Atom precedenti al 2013, mentre i ricercatori hanno sperimentato gli effetti concreti della falla sulle CPU x86-64 uscite dal 2011 in poi. Interessati da Meltdown sono anche i processori ARM per gadget mobile, mentre AMD è interessata soprattutto dalle vulnerabilità di Spectre.
Per quanto riguarda gli effetti concreti delle falle, Meltdown può essere sfruttata per leggere i contenuti della memoria privata assegnata al kernel partendo da programmi con normali privilegi di accesso utente, mentre Spectre può portare all’estrazione di informazioni gestite da processi diversi da quello attualmente in esecuzione. Ancora più in concreto, oltre alla compromissione – di per se gravissima – della memoria virtuale del kernel gli utenti e le aziende potrebbero andare incontro alla violazione di dati sensibili come password, carte di credito, informazioni riservate, database; sui server cloud, una macchina virtuale guest potrebbe in teoria avere accesso al sistema operativo host del server con tutte le nefaste conseguenze del caso.
Come prevedibile, Meltdown e Spectre coinvolgono un gran numero di aziende, produttori OEM, software, sistemi operativi e piattaforme di computing, e non è un caso che le tre falle abbiamo velocemente fatto il giro di Internet riversandosi infine sui media generalisti con i soliti toni allarmistici in stile “Millennium bug”. I bug – soprattutto nel caso di Meltdown – riguardano difetti presenti direttamente nell’hardware delle CPU, ma le aziende coinvolte si sono mosse per cercare di porre rimedio e mitigarne gli effetti con patch e aggiornamenti a pioggia tendenti a isolare il kernel dal resto della memoria di sistema.
Microsoft ha rilasciato un aggiornamento in anticipo sul suo tradizionale martedì di patch mensile, permettendo agli utenti di Windows 7, Windows 8.1 e Windows 10 di mettersi al riparo da eventuali exploit e attacchi – finora inesistenti – in arrivo nel prossimo futuro. Sugli OS di Redmond è possibile verificare la presenza delle falle sul proprio sistema grazie a uno script PowerShell , mentre i sistemi della linea Surface hanno ricevuto aggiornamenti per il firmware UEFI . Mozilla ha approntato due misure in grado di mitigare gli effetti dei bug con Firefox 57.0.4 , mentre Google ha promesso di rilasciare un fix per Chrome entro la fine del mese . Ubuntu rilascerà una patch il prossimo 9 gennaio . Una lista aggiornata di tutti gli update disponibili o in arrivo è stata pubblicata da Bleeping Computer .
Meltdown e Spectre sono inesorabilmente destinati a far parlare di se per molto tempo ancora, soprattutto nel secondo caso visto che le vulnerabilità 1 (CVE-2017-5753) e 2 (CVE-2017-5715) sono più difficili da eliminare con un aggiornamento software. AMD continua a sostenere di essere “immune” al problema, cosa oggettivamente vera nel caso di Meltdown, mentre Intel deve fare i conti con polemiche inesorabilmente destinate a intaccare il buon nome dell’azienda oltre alle vendite di CPU. Il CEO Brian Krzanich deve poi spiegare il perché di una vendita in blocco delle azioni seguita alla scoperta dei bug .
Gli effetti degli aggiornamenti anti-Meltdown sul fronte delle prestazioni delle CPU, infine, sono forse quelli che più interessano aziende e utenti finali: le prime stime parlavano di un impatto compreso tra il 5 e il 30%, ma i primi benchmark seguiti alle patch Microsoft per Windows hanno confermato che l’utenza consumer – e quella appassionata di videogiochi – non ha praticamente nulla da temere . Più complesso il discorso per il settore enterprise e cloud, dove le operazioni intensive su database, macchine virtuali e risorse di computing distribuite potrebbero sperimentare un degrado delle performance sensibilmente più percepibile.
Alfonso Maruccia