Nova falha no estilo Spectre e Meltdown é divulgada por Google e Microsoft
Se você acha que o pesadelo das falhas Spectre e Meltdown já é coisa do passado, um novo grande problema foi divulgado em conjunto pela Google e pela Microsoft. Trata-se de uma vulnerabilidade de segurança em CPUs muito parecida com as já citadas que está sendo chamada de Speculative Store Bypass (variante 4). Segundo foi informado, a falha é bastante parecida com a Spectre e pode incluir atualizações de firmware para CPUs que podem afetar o desempenho do computador, diferente do que acontece com o Meltdown.
A Intel já se manifestou – assim como nos casos da Spectre e Meltdown – e forneceu atualizações de microcódigo para essa nova vulnerabilidade em formato beta para OEMs. A empresa espera que elas estejam mais amplamente disponíveis nas próximas semanas e impeçam que o Speculative Store Bypass afete o desempenho das máquinas afetadas.
Continuamos trabalhando com os fabricantes dos chips afetados e já liberamos mitigações de defesa em profundidade para lidar com vulnerabilidades de execução especulativa
Leslie Culbertson, chefe de segurança da Intel, explicou: “Se ativada, observamos um impacto no desempenho de aproximadamente dois a oito por cento com base nas pontuações gerais de benchmarks, como o SYSmark 2014 SE e a taxa integer SPEC, nos sistemas de teste do cliente 1 e do servidor 2”.
Assim, os usuários finais (e particularmente os administradores de sistema) vão ter que optar entre segurança ou o desempenho correto. A escolha, como as variantes anteriores do Spectre, vai se resumir a sistemas e servidores individuais e ao fato de que essa nova variante parece apresentar menos risco do que as falhas de CPU que foram descobertas no começo do ano.
Essa nova vulnerabilidade foi descoberta pela Microsoft em novembro do ano passado e a empresa tratou de avisar fabricantes parceiros como parte do programa de Divulgação Coordenada de Vulnerabilidade.
Estamos comprometidos em fornecer mitigações adicionais aos nossos clientes assim que elas estiverem disponíveis
Uma parceria entre a empresa, a Intel e a AMD vai determinar o impacto que a falha pode ter na performance de seus sistemas. “Continuamos trabalhando com os fabricantes dos chips afetados e já liberamos mitigações de defesa em profundidade para lidar com vulnerabilidades de execução especulativa em nossos produtos e serviços”, disse um porta-voz da Microsoft.
Ele concluiu: “Não temos conhecimento de nenhuma instância dessa classe de vulnerabilidade que afete o Windows ou a infraestrutura de serviços em nuvem. Estamos comprometidos em fornecer mitigações adicionais aos nossos clientes assim que elas estiverem disponíveis e nossa política padrão para problemas de baixo risco é fornecer correções através do nosso cronograma de atualizações”.