Nella giornata di ieri come un fulmine a ciel sereno è arrivata una notizia che ha preoccupato moltissimi utenti: un problema di sicurezza per le CPU Intel mette a rischio le prestazioni di questi chip; oggi veniamo a scoprire maggiori dettagli di queste vulnerabilità (esatto, non una ma ben due) direttamente da Google, e non sono buone notizie: nel mirino, infatti, non solo le CPU Intel, ma praticamente tutti i moderni processori.
Scoperte nel maggio 2017, Spectre e Meltdown (questi i nomi dati alle vulnerabilità) sono state dal team di Google Project Zero immediatamente notificate a Intel, AMD e ARM; queste aziende sarebbero da allora al lavoro per trovare una soluzione, con tutti i dettagli pronti per la pubblicazione il prossimo 9 gennaio. Leggermente in anticipo sui tempi, però, BigG ha deciso di rivelare alcuni dettagli, e sopratutto parlarci dei suoi prodotti per dirci se sono sicuri o meno.
Google si riferisce a tre differenti varianti (CVE-2017-5753, CVE-2017-5715 e CVE-2017-5754) le prime due riferite a “Spectre” e l’ultima “Meltdown”; Meltdown è tra le due la falla più facile da risolvere con un semplice aggiornamento software ed è la vulnerabilità che sembrerebbe affliggere le sole CPU Intel: permetterebbe ad un malintenzionato di accedere ai contenuti o alla struttura di aree di memoria del kernel protette, dove spesso sono custoditi dati sensibili. Spectre sarebbe invece in grado di rubare informazioni dalla memoria di altre applicazioni in uso nel dispositivo, e sembrerebbe affliggere non solo i processori Intel ma bensì praticamente tutte le CPU moderne.
Al momento, come detto, Meltdown sembrerebbe la falla più facile da chiudere tramite un aggiornamento software che potrebbe essere già stato rilasciato (o essere in arrivo) per Windows, Linux e macOS; Spectre sarebbe invece un caso più complesso, andando ad utilizzare l’esecuzione speculativa (ovvero l’esecuzione di codice il cui risultato potrebbe poi non essere utilizzato al fine di ottimizzare le prestazioni) che è una funzionalità comune a tutte le CPU moderne.
Tornando a Google, l’azienda ha pubblicato una pagina nella quale è riportata la situazione dei servizi offerti dal colosso di Mountain View; per quanto riguarda Android e i processori ARM, il fix è contenuto all’interno della patch del 5 gennaio: protetti quindi i dispositivi Pixel e Nexus, per il momento.
Chrome, nell’ultima versione stabile, contiene una funzionalità chiamata Site Isolation che dovrebbe permettere di mettere una pezza al problema; l’attivazione avviene tramite flag (#enable-site-per-process), ma potrebbe compromettere le prestazioni dell’uso di Chrome da Android (mentre per iOS non è semplicemente disponibile). La versione 64 di Chrome in arrivo a fine gennaio dovrebbe contenere comunque nuove funzionalità di protezione. Per quanto riguarda Chrome OS, invece, possono stare tranquilli i possessori di un dispositivo con CPU Intel con a bordo una versione del kernel Linux 3.18 o 4.4 (versioni più vecchie riceveranno una patch con la prossima versione di Chrome OS); la vulnerabilità non sarebbe invece un problema per i Chromebook con chip ARM, ma anche questi riceveranno in futuro delle patch dedicate.
L’infrastruttura alla base di G Suite (che comprende le varie applicazioni come Gmail, Calendario, Drive ecc) risulta essere protetta, come anche non vi è nessun problema per dispositivi come Google Home, WiFi e Chromecast.
Nel caso siate interessati ad approfondire, qui trovate maggiori dettagli sulle due vulnerabilità.