Nel precedente post dedicato alle vulnerabilità Spectre e Meltdown si era parlato dei primi dettagli emersi sulle falle dei processori Intel, AMD ed ARM. A distanza di un mese dall’annuncio del portale The Register, è interessante ritornare sulla questione per verificare se ci siano stati o meno progressi significativi.
In generale gli addetti ai lavori hanno riscontrato alcuni passi avanti da parte dei diretti interessati (sia vendor hardware che mantainer di sistemi operativi come ad esempio Microsoft) ma il rimedio definitivo alle vulnerabilità resta ancora in fase di studio. Per quanto riguarda le notizie positive:
– Redmond ed AMD hanno ripreso i lavori sui prossimi aggiornamenti software – il competitor di Intel si era dichiarato inizialmente immune alle due varianti di Spectre (bounds check bypass e branch target injection) per poi ritrattare il 12 gennaio 2018;
– la possibilità di verificare la presenza o meno di problematiche inerenti Spectre/Meltdown con vRealize Operations, suite VMware pensata per “automatizzare le applicazioni e la gestione dell’infrastruttura negli ambienti virtuali, fisici e cloud”;
– AWS, Google, Microsoft sono riusciti a minimizzare l’impatto delle falle sulla stabilità e le performance delle rispettive piattaforme cloud. Le problematiche in ogni caso permangono e nuove patch sono attualmente in fase di studio/testing.
Le notizie negative
Per quanto riguarda le criticità irrisolte:
– nessuna novità e/o roadmap degli update per ARM ed i sistemi operativi Android, macOS/iOS;
– i prodotti di networking (Application Delivery Controllers e Wan Optimization Controllers) sono ugualmente vulnerabili e necessiteranno di adeguati fix. Finora, ha osservato Andrew Lerner (VP research Gartner), ci si è focalizzati eccessivamente sulle problematiche del cloud computing e dei server;
– la piattaforma Oracle Sparc si è rivelata ugualmente vulnerabile. Si attende il rilascio di alcuni aggiornamenti software nel corso di febbraio.
Cosa è successo in casa Intel
Nell’ultimo mese la compagnia ha cercato di mitigare le problematiche inerenti le vulnerabilità con risultati alterni:
– (4-15 gennaio) gli aggiornamenti della “prima ora” hanno causato imprevisti su alcuni sistemi (CPU consumer ed enterprise, si va da Broadwell fino a Skylake e Kaby Lake) come riavvii casuali e cali prestazionali. Se questi ultimi erano stati preannunciati e preventivati dal vendor (semplificando, si è intervenuti sugli “aggressivi” algoritmi predittivi che le CPU Intel adottavano per eseguire le istruzioni e sul livello di isolamento di aree delicate come la memoria di sistema e del kernel), i primi hanno invece colto di sorpresa utenti e grandi compagnie.
– (16-22 gennaio) Red Hat, Lenovo ed altri hanno deciso di non applicare ulteriori aggiornamenti in attesa di fix più stabili. La stessa Intel ha successivamente ammesso l’esistenza di problematiche varie ed ha sconsigliato l’installazione degli aggiornamenti rilasciati fino ad ora. Le cause dietro alle problematiche affrontate dai processori Broadwell ed Haswell sono state individuate, ha dichiarato il vendor, mentre restano ancora da accertare quelle associate alle generazioni più recenti.
– (29 gennaio). Microsoft ha rilasciato un aggiornamento per Windows 7 SP1/8.1/10 che inibisce il fix rilasciato precedentemente da Intel (nello specifico solo il codice indirizzato alla variante 2 di Spectre).
InternetPost continuerà a seguire la vicenda Spectre/Meltdown, appuntamento al prossimo post di aggiornamento.
