Dopo Meltdown e Spectre arriva “Variante 4“, nuova versione della vulnerabilità nei processori Intel, anche se l’azienda assicura che non ha dato origine ad alcun attacco informatico e che l’aggiornamento di sicurezza già esiste.
Si tratta dunque, come dice il nome, di una variante della stessa falla di sicurezza nei chip del colosso dei processori per computer emersa a inizio anno. L’annuncio del rilevamento della Variante 4 è stato dato insieme ai ricercatori di Google Project Zero e del Microsoft Security Response Center. Intel sottolinea che la vulnerabilità tocca altri produttori di chip e sottolinea che la fix per proteggere da questa falla è già implementata.
“Nessun caso di utilizzo della falla per attacchi nel mondo reale è stato riportato”, ha dichiarato Intel. “Inoltre, ci sono numerosi modi per consumatori e professionisti IT per difendere i loro sistemi da potenziali attacchi, incluse le mitigazioni browser-based già disponibili”.
Meltdown e Spectre sono due gravi vulnerabilità scaturite da un errore di progettazione presente nei chip fin dal 1995, che rende attaccabili i processori di quasi tutti i dispositivi utilizzati quotidianamente (server, server cloud, Pc Windows e Linux, Mac, smartphone, tablet, etc.), da cui possono essere sottratte informazioni critiche e riservate. I diversi produttori hanno rilasciando gli aggiornamenti necessari per correggere il problema. Tuttavia gli impatti potenziali hanno da subito creato confusione: se Intel ha cercato di tranquillizzare sulle ricadute per la sicurezza dei dati e le prestazioni dei device, Microsoft ha messo in guardia sul rallentamento delle performance, soprattutto nei server.
La vulnerabilità “Meltdown” consente -potenzialemente -agli hacker di aggirare la barriera hardware tra le applicazioni eseguite dagli utenti e la memoria del computer; sarebbe quindi possibile rubare le password. Spectre, invece, riguarda i chip non solo di Intel, ma anche di Amd e Arm e consente agli hacker di trarre in inganno applicazioni altrimenti prive di errori nel dare informazioni segrete.
Intel oggi torna a rassicurare: gli aggiornamenti già diffusi per le altre varianti proteggono i browser di navigazione web anche nel caso della nuova vulnerabilità, classificata come “rischio medio”. Intel rilascerà comunque un aggiornamento ad hoc nelle prossime settimane; l’update potrebbe avere un impatto negativo sulle prestazioni dei processori stimato tra il 2% e l’8%, ma i clienti potranno scegliere se attivare o no la protezione valutando le conseguenze sulla velocità dei sistemi.
Sul caso della falla nei chip, Intel ha sempre insistito su una responsabilità condivisa tra tutte le aziende del comparto: il difetto di sicurezza, sostiene, deriva da una pervasiva vulnerabilità nei progetti dei processori che risalgono a decenni fa ed è stato trovato in quasi tutti i Pc, smartphone e server. Amd ha già fatto sapere di non aver individuato alcun prodotto x86 suscettibile alla Variante 4, mentre Arm ha rilevato un impatto solo su un numero limitato di core Cortex-A e ha già risolto il problema con un aggiornamento.
