Pentru a treia oară în mai puțin de un an, Intel a dezvăluit o noua vulnerabilitate de tip Zombieload legata de funcționalitatea speculativă a procesoarelor sale.
Compania a declarat că va publica o actualizare software „în următoarele săptămâni”, care va remedia alte două defecte de prelevare de date microarhitecturale (MDS) sau defecte Zombieload. Această ultimă actualizare vine după ce compania a lansat două patch-uri separate în mai și noiembrie a anului trecut.
În comparație cu defectele MDS pe care Intel le-a abordat în cele două patch-uri anterioare, noua vulnerabilitate de tip Zombieload are câteva limitări. Pentru început, una dintre vulnerabilități, L1DES, nu funcționează pe cipurile mai recente ale Intel. Mai mult, un hacker nu poate executa atacul folosind un browser web. Intel mai spune că „nu are cunostinta” ca cineva profită de defectele de securitate in afara de cercetatori.
Cu toate acestea, la fel ca atunci când compania a emis cel de-al doilea patch MDS în noiembrie, cercetătorii de securitate critică Intel pentru abordarea sa fragmentară.
„Am avut nevoie de luni întregi îca sa să convingem Intel că scurgerile de date prin intermediul vulnerabilitatilor L1D au fost posibile și trebuie luate în considerare”, a scris echipa internațională de informaticieni care a descoperit defectul pe site-ul lor. Într-un supliment la lucrarea lor originală, există un sentiment de exasperare in ceea ce priveste relatia cu compania.
„Reiterăm că vulnerabilitățile din clasa RIDL nu sunt banale pentru avea nevoie doar de unele remediere sau patch-uri, iar strategiile actuale de atenuare „la fața locului” pentru rezolvarea acestor probleme sunt discutabile”, scriu cercetătorii. „Mai mult decât atât, punem la îndoială eficiența proceselor de divulgare de-a lungul anului și, de asemenea, acestea ridică o îngrijorare cu privire la impactul lor perturbator asupra procesului academic.”
De cealalta parte Intel a decis sa raspunda criticilor, spunând că a luat măsuri semnificative pentru a reduce pericolul pe care defectele le au asupra procesoarelor sale. „Din mai 2019, începând cu Microarchitectural Data Sampling (MDS), apoi în noiembrie cu TAA, noi și partenerii noștri de software am eliberat patch-uri care au redus cumulativ și substanțial suprafața totală de atac pentru aceste tipuri de probleme„, a declarat un purtător de cuvânt al companiei. „Continuăm să efectuăm cercetări în acest domeniu – intern și în comun cu comunitatea externă de cercetare.„
