El que acaba de passar? Investigadors de seguretat de la Universitat de Michigan van donar a conèixer detalls sobre una nova vulnerabilitat que afecta la majoria de processadors Intel que es podria utilitzar per filtrar dades sensibles.

CVE-2020-0549, anomenat CacheOut Es tracta d'un atac d'execució especulativa per part dels investigadors amb una gravetat de 6,5 (risc moderat). Com va destacar Intel a la seva descripció, aquesta variant de canal lateral podria permetre extreure el valor de les dades d'algunes files de memòria cau modificades a la memòria cau de dades L1 en les condicions adequades.

A diferència de problemes anteriors de mostreig de dades de microarquitectura (MDS), un atacant podria explotar aquesta nova vulnerabilitat per triar quines dades es filtraran en lloc d’esperar a que les dades estiguin disponibles. Encara pitjor, els investigadors demostren que incloure les màquines virtuals integrades, el nucli del sistema operatiu i fins i tot els complements Software Protection Extensions (SGX), "gairebé sempre poden incomplir l'espai de seguretat basat en el maquinari".

Jerry Bryant, director de comunicacions d’Intel Product Assurance and Security, jo vaig dir No són conscients de cap ús de la vulnerabilitat fora d’un entorn de laboratori controlat.

Intel llista de processadors Són situacions que no es veuen afectades i afectades per aquesta vulnerabilitat. Concretament, els investigadors diuen que els xips AMD no es veuen afectats per CacheOut, ja que la companyia no ofereix cap característica similar a les extensions de sincronització transaccional (TSX) d’Intel. Els productes ARM i IBM tenen una característica similar a TSX, però els investigadors van dir que no saben si n’hi ha algun que estigui afectat.




Intel té previst llançar actualitzacions de microcodi per als processadors afectats mitjançant Intel Platform Update (IPU) en un futur proper. Els que estiguin interessats a aprofundir, paper complet (PDF) sobre.




Crèdit masthead: Processador A càrrec de Mau47. Logotip de CacheOut per Marina Minkin.