Pochi giorni addietro è stata resa nota una nuova falla di sicurezza nei processori AMD prodotto tra il 2011 e il 2019. Il problema, indicato come “Take A Way”, è stato reso noto da studi condotti dai ricercatori dell’Università di Graz, che hanno dimostrato la possibilità di estrarre dati sensibili attraverso manipolazioni del predittore di cache L1D (L1 Data).
Nel documento diffuso dalla Graz University of Technology sono riportati i dettagli relativi alla vulnerabilità di cui AMD è stata informata ad agosto dello scorso anno senza ancora individuare una soluzione.
AMD ha replicato una dichiarazione pubblica sulla questione, che abbiamo ricevuto anche noi e riportiamo di seguito liberamente tradotta:
“Siamo al corrente del nuovo whitepaper nel quale si riferiscono exploit di sicurezza nelle CPU AMD, sfruttando i quali malfattori potrebbero manipolare una funzione legata alla cache per trasmettere potenzialmente in modo imprevisto dati dell’utente. I ricercatori hanno abbinato questo percorso dati con noti software di mitigazione o vulnerabilità side channel legate all’esecuzione speculativa” (tecnologia ache umenta la velocità agendo su più istruzioni contemporaneamente, anche in ordine diverso rispetto a quello di immissione nella CPU.). “AMD ritiene che questi non sono nuovi attacchi legati all’esecuzione speculativa”. Il produttore di CPU raccomanda le seguenti best practices (prassi, ndr) per contribuire a mitigare problematiche relative ad attacchi side-channel:
- Tenere il sistema operativo aggiornato alle ultime versioni, e aggiornare firmware che includono mitigazioni hardware per le vulnerabilità speculative.
- Seguire tecniche di programmazione di sicurezza
- Implementare le ultime versioni di librerie critiche con relative patch, incluse quelle suscettibili ad attacchi side-channel
- Applicare prassi di sicurezza nell’uso de computer ed eseguire software antivirus.
In altre parole, AMD non sembra voler ammettere la veridicità della vulnerabilità individuate dai ricercatori, spiegando che questa tipologia di attacchi sono noti e riportando generici consigli per la sicurezza. Vi informeremo dell’eventuale risposta dei ricercatori ad AMD.
Tutti gli articoli di macitynet che parlano di sicurezza sono disponibili da questa pagina.