Po raz trzeci w okresie mniej niż roku Intel opublikuje nową aktualizację, której celem będzie załatanie luk w procesorach firmy powiązanych z funkcją wykonywania spekulatywnego. Mowa tu konkretnie o podatnościach na ataki określane przez giganta z Santa Clara mianem Microarchitectural Data Sampling (MDS), ale różne zespoły naukowców, które niezależnie od siebie odkryły te problemy, określają je także mianem RIDL lub Zombieload i informowały one producenta procesorów już w czerwcu 2018 roku. Najnowsza łatka będzie już trzecią wypuszczoną przez Niebieskich, która dotyczyć będzie tych luk i poprzednie ukazały się w maju i listopadzie ubiegłego roku. W porównaniu do MDS, które załatane zostały poprzednimi patchami, najnowszy wariant ma kilka istotnych ograniczeń. I tak, L1DES nie działa już na najnowszych procesorach firmy, a poza tym hakerzy nie mogą w tym przypadku przeprowadzić ataku za pomocą przeglądarki internetowej.
Po raz trzeci w okresie mniej niż roku Intel opublikuje nową aktualizację, której celem będzie załatanie luk Zombieload w procesorach firmy powiązanych z funkcją wykonywania spekulatywnego.
Intel podaje, że nie został poinformowany o tym, by ktokolwiek wykorzystał te luki poza naukowcami w ich laboratoriach. Niemniej jednak, podobnie jak to miało miejsce, kiedy producent publikował listopadową łatkę, badacze zajmujący się bezpieczeństwem krytykują firmę za fragmentaryczne podejście do tematu. „Miesiącami staraliśmy się przekonać Intela, że wycieki z ataku L1D są możliwe i trzeba zająć się tym problemem” - napisał międzynarodowy zespół naukowców zajmujący się tym zagadnieniem. W uzupełnieniu do pierwotnego dokumentu wyczuć można nawet swoiste rozdrażnienie podejściem do tematu przez Intela. „Podtrzymujemy, że podatności klasy RIDL nie są banalne w naprawie lub złagodzeniu i obecna strategia firmy w zajmowaniu się tym problemem jest wątpliwa” - czytamy w dokumencie.
Badacze kwestionują także efektywność środków, które przez przeszło rok podejmuje Intel. Niebiescy z kolei lekceważą tę krytykę, twierdząc, że podjęli wystarczające środki, by zredukować zagrożenie wywołane przez te luki w ich procesorach. „Poczynając od maja wraz z Microarchitectural Data Sampling (MDS) i następnie w listopadzie z TAA, z naszymi partnerami software’owymi wypuściliśmy aktualizacje łagodzące skutki tych podatności, które łącznie i w dużym stopniu redukują całkowitą powierzchnię ataku dla tego typu zagrożeń” - stwierdził rzecznik firmy, obiecując jednocześnie, że cały czas prowadzić będą badania w tych obszarach, zarówno wewnętrzne, jak i we współpracy z zewnętrznymi zespołami społeczności naukowej.
Pokaż / Dodaj komentarze do: Intel łata lukę w luce swoich procesorów dla podatności Zombieload