Esta semana a Intel anunciou que vai lançar em breve uma actualização para os seus processadores para resolver dois problemas de segurança ‘Microarchitectural Data Sampling’ (MDS), também conhecidos com Zombieload. Esta actualização vem no seguimento de outras duas disponibilizadas em Maio e Novembro do ano passado.
Comparando as falhas de segurança MDS resolvidas anteriormente com as mais recentes, as últimas têm algumas limitações. A vulnerabilidade L1DES não funciona nos chips mais recentes. Outra limitação é que um hacker não consegue explorar estas vulnerabilidades através de um browser web. A Intel diz também que ainda não detectou nenhuma tentativa de utilização destas vulnerabilidades no mundo real, ou seja fora dos laboratórios da empresa.
Contudo, tal como aconteceu com a actualização lançada em Novembro, a comunidade de especialistas em segurança informática criticou a Intel por não atacar o problema de uma vez. “Estivemos meses a tentar convencer a Intel de que falta de estanquidade dos dados provocada pela falha L1D eram um problema que necessitava de ser resolvido”, escreveram os membros da equipa de cientistas que descobriram esta falha. Numa adenda ao documento original, onde davam conta do problema de segurança nos processadores Intel, eles deixam transparecer alguma exasperação com a falta de acção da Intel:
“Reiteramos de as vulnerabilidades RIDL não são coisas triviais para resolver ou mitigar e que a estratégia actual de as mitigar pontualmente é questionável. Mais, questionamos a eficácia dos processos de anuncio que são feitos a longo prazo e estamos também preocupados com o impacto que têm no processo académico.”
A Intel desvalorizou as críticas, dizendo que que tomou medidas significativas para reduzir os perigos que estas falhas representam para a segurança dos seus processadores: “Desde Maio de 2019, começando com a ‘Microarchitectural Data Sampling’ (MDS) e em Novembro com a TAA que nós, em conjunto com os nossos parceiros, lançámos actualizações para mitigar estes problemas que conseguiram reduzir substancialmente o potencial para a exploração destes problemas. Vamos continuar a fazer pesquisas nesta área, internamente e em conjunto com a comunidade científica.”
