Il team di Project Zero di Google ha scoperto l'errore critico della CPU lo scorso anno
chinatopwin
chinatopwin
2018-01-04 09:18:14
In un post pubblicato pochi minuti fa, il team di sicurezza di Google ha annunciato ciò che hanno fatto per proteggere i clienti di Google Cloud dalla vulnerabilità dei chip annunciata in precedenza. Hanno anche indicato che il loro team di Project Zero ha scoperto questa vulnerabilità l'anno scorso (anche se non erano specifici con i tempi).
La società ha dichiarato di aver informato i produttori di chip del problema, che è causato da un processo noto come "esecuzione speculativa". Si tratta di una tecnica avanzata che consente al chip di indovinare essenzialmente quali istruzioni potrebbero essere logicamente in arrivo per accelerare l'esecuzione. Sfortunatamente, questa capacità è vulnerabile agli attori malintenzionati che potrebbero accedere alle informazioni critiche archiviate in memoria, incluse le chiavi di crittografia e le password.
Secondo Google, questo riguarda tutti i produttori di chip, inclusi quelli di AMD, ARM e Intel (sebbene AMD abbia negato di essere vulnerabile). In un post sul blog, Intel ha negato che la vulnerabilità fosse limitata ai propri chip, come era stato segnalato da alcuni punti vendita.
Il team di Google Security ha scritto che ha iniziato a prendere provvedimenti per proteggere i servizi Google dal difetto non appena se ne sono resi conto. Se ti stai chiedendo perché non l'hanno detto al pubblico non appena se ne sono resi conto, è perché ci doveva essere una versione coordinata in arrivo la prossima settimana (il 9 gennaio). Quando le notizie sono trapelate, Google, Intel e altre parti interessate hanno deciso di rilasciare le informazioni per porre fine alla speculazione.
La buona notizia è che se si utilizza Google Apps / G Suite, non è necessario intraprendere alcuna azione. Altri utenti di Google Cloud dovranno prendere alcune misure per mitigare i loro rischi. Dovresti leggere questo post per dettagli specifici su quali prodotti e servizi richiedono l'intervento dell'utente.
La società ha dichiarato di aver informato i produttori di chip del problema, che è causato da un processo noto come "esecuzione speculativa". Si tratta di una tecnica avanzata che consente al chip di indovinare essenzialmente quali istruzioni potrebbero essere logicamente in arrivo per accelerare l'esecuzione. Sfortunatamente, questa capacità è vulnerabile agli attori malintenzionati che potrebbero accedere alle informazioni critiche archiviate in memoria, incluse le chiavi di crittografia e le password.
Secondo Google, questo riguarda tutti i produttori di chip, inclusi quelli di AMD, ARM e Intel (sebbene AMD abbia negato di essere vulnerabile). In un post sul blog, Intel ha negato che la vulnerabilità fosse limitata ai propri chip, come era stato segnalato da alcuni punti vendita.
Il team di Google Security ha scritto che ha iniziato a prendere provvedimenti per proteggere i servizi Google dal difetto non appena se ne sono resi conto. Se ti stai chiedendo perché non l'hanno detto al pubblico non appena se ne sono resi conto, è perché ci doveva essere una versione coordinata in arrivo la prossima settimana (il 9 gennaio). Quando le notizie sono trapelate, Google, Intel e altre parti interessate hanno deciso di rilasciare le informazioni per porre fine alla speculazione.
La buona notizia è che se si utilizza Google Apps / G Suite, non è necessario intraprendere alcuna azione. Altri utenti di Google Cloud dovranno prendere alcune misure per mitigare i loro rischi. Dovresti leggere questo post per dettagli specifici su quali prodotti e servizi richiedono l'intervento dell'utente.