Una carga de CPU Intel tiene un defecto de Spectre v2 que no se puede reparar

Intel no arreglará Meltdown ni Spectre para 10 familias de productos que cubren más de 230 CPU.

Intel ha publicado una nueva “guía de revisión de microcódigo” que revela que no abordará las vulnerabilidades de diseño de Meltdown y Spectre en todos sus procesadores vulnerables, en algunos casos porque es demasiado difícil eliminar la clase de vulnerabilidades de Spectre v2, dijeron los investigadores de seguridad de la información.

La nueva guía, emitida el 2 de abril, agrega un estado “detenido” a la categoría de “estado de producción” de Intel en su conjunto de actualizaciones de seguridad Meltdown y Spectre disponibles. “Detenido” indica que no habrá un parche de microcódigo para matar Meltdown y Spectre.

spectre

La guía explica que un chipset obtiene el estado “detenido” porque, “después de una investigación exhaustiva de las micro arquitecturas y las capacidades de microcódigo para estos productos, Intel ha decidido no lanzar actualizaciones de microcódigos para estos productos por una o más razones”.

Esos motivos se dan como:

  • Características micro arquitectónicas que impiden una implementación práctica de las características que mitigan [Espectro] Variante 2 (CVE-2017-5715)
  • Soporte limitado del software del sistema comercialmente disponible
  • Según los datos del cliente, la mayoría de estos productos se implementan como “sistemas cerrados” y, por lo tanto, se espera que tengan una menor probabilidad de exposición a estas vulnerabilidades.

Si una familia de chips pertenece a una de esas categorías, como Intel no puede reparar fácilmente Spectre v2 en el diseño, o los clientes no creen que se explotará el hardware, se obtiene una calcomanía “detenida”. Para aprovechar las vulnerabilidades, el malware debe ejecutarse en un sistema, por lo que si la computadora está totalmente cerrada del mundo exterior, los administradores pueden sentir que no vale la pena aplicar microcódigo desordenado, sistema operativo o actualizaciones de aplicaciones, dijeron profesionales de seguridad de la información.

Las CPU “detenidas” que no tendrán una solución se encuentran en las familias Bloomfield, Bloomfield Xeon, Clarksfield, Gulftown, Harpertown Xeon C0 y E0, Jasper Forest, Penryn / QC, SoFIA 3GR, Wolfdale, Wolfdale Xeon, Yorkfield y Yorkfield Xeon. La nueva lista incluye varios Xeons, Core CPUs, Pentiums, Celerons y Atoms, casi todo lo que hace Intel.

La mayoría de las CPU mencionadas anteriormente son antiguas que se pusieron a la venta entre 2007 y 2011, por lo que es probable que queden pocas en uso normal.

Intel no ha revelado cuáles de las CPU “detenidas” enumeradas no pueden ser mitigadas en absoluto, y no le molesta terminar parches. Hay algunas buenas noticias en la guía ajustada: las familias Arrandale, Clarkdale, Lynnfield, Nehalem y Westmere que anteriormente no tenían parches ahora tienen reparaciones disponibles en producción.

“Hemos completado el lanzamiento de las actualizaciones de microcódigo para los productos de microprocesador Intel lanzados en los últimos 9 años que requieren protección contra las vulnerabilidades de canal lateral descubiertas por Google Project Zero”, dijo un experto en seguridad de la información de Intel.

“Sin embargo, como se indica en nuestra última guía de revisión de microcódigo, no proporcionaremos microcódigo actualizado para un número selecto de plataformas antiguas por varias razones, incluida la compatibilidad limitada de los ecosistemas y los comentarios de los clientes”.