Google e Microsoft divulga nova falha de CPU, e a correção pode abrandar máquinas

Microsoft e Google em conjunto estão divulgando uma nova vulnerabilidade de segurança de CPU que é parecida com os Meltdown e Spectre falhas que foram reveladas no início deste ano. Rotulados de Bypass de loja especulativa (variante 4), a mais recente vulnerabilidade é uma exploração semelhante ao espectro e explora a execução especulativa que CPUs modernas usam. Navegadores como o Chrome, Safari e Edge estavam tudo remendados para colapso no início deste ano, e Intel diz “Estas reduções também são aplicáveis a variante 4 e disponível para os consumidores a usar hoje.”

No entanto, ao contrário de Meltdown (e mais semelhantes a Spectre) essa nova vulnerabilidade também incluirá atualizações de firmware para CPUs que poderiam afetar o desempenho. Intel já emitiu atualizações de microcódigo para Bypass de loja especulativa em versão beta para OEMs, e a empresa espera que eles sejam mais amplamente disponível nas próximas semanas. As atualizações de firmware irão definir a proteção de Bypass de loja especulativa para fora por padrão, garantindo que a maioria das pessoas não vê impacto negativo no desempenho.

“Se estiver habilitado, observamos um impacto de desempenho de cerca de 2-8% com base na pontuação geral para parâmetros como SYSmark 2014 SE e taxa de SPEC inteiro no cliente 1 e sistemas de teste do servidor 2,” explica Leslie Culbertson, chefe de segurança da Intel.

Como resultado, os usuários finais (e particularmente os administradores de sistema) terá que escolher entre a segurança ou o desempenho ideal. A escolha, como as variantes anteriores da Spectre, descerá para sistemas individuais e servidores e o fato de que essa nova variante parece ser menos risco do que as falhas de CPU que foram descobertos no início deste ano.

Microsoft começou a oferecer até US $250.000 para bugs que são semelhantes para as falhas de Meltdown e Spectre CPU em março, e a empresa diz que descobriu esse bug novo em novembro. “Microsoft anteriormente descoberto esta variante e divulgados para parceiros da indústria em novembro de 2017 como parte da divulgação de vulnerabilidade coordenada (CVD),” disse um porta-voz da Microsoft. A Microsoft está agora trabalhando com a Intel e AMD para determinar o impacto de desempenho em sistemas.

“Nós estamos continuando a trabalhar com fabricantes de chips afetados e já lançaram atenuações de defesa em profundidade para vulnerabilidades de execução especulativa de endereço através de nossos produtos e serviços,” disse um porta-voz da Microsoft. “Nós não estamos cientes de qualquer instância desta classe de vulnerabilidade afetando Windows ou nossa infra-estrutura de serviços de nuvem. Estamos empenhados em fornecer mais atenuações para nossos clientes quando eles estão disponíveis, e nossa política padrão para questões de baixo risco é fornecer remediação através de nossa agenda de atualização terça-feira.”

A Intel está já a preparar suas próprias alterações de CPU para o futuro. Intel é redesenhar seus processadores para proteger contra ataques como o espectro ou essa nova variante 4, e os processadores Xeon geração da empresa (Lago de cascata) irão incluir novas proteções de hardware interno, ao lado da 8ª geração de processadores Intel Core Essa nave na segunda metade de 2018.

Click here for more information