Aparte de los ya famosos bugs Meltdown y Spectre debemos sumar ahora
PortSmash.
PortSmash, es una vulnerabilidad descubierta por la universidad tecnologica de TAMPERE, en finlandia, junto con la Universidad Tecnologica de la Habana, en cuba. Esta afectala seguridad en los procesos internos de encriptacion de datos via el Hyper-Threading, de tal manera que en tareas multihilo simultaneas es posible encontrarlas claves para decifrar los datos que hay en la memoria RAM o en los registros del procesador.
Los investigadoresde ambas universidades que descubrieon este fuga de seguridad han creado un codigo para reproducir un exploit que muestre lo factible que es recuperar informacion, y lo han puesto en GitHub.
https://github.com/bbbrumley/portsmashPor lo pronto un vocero de intel a respondido que esta fuga es real, pero que esperan que no solo afecte a los procesadores de intel, sino a otos de capacidades similares [obviando se refiera a los RyZEN y el SMT, y quiza a los ARM]. Tam,bien indica que la solucion seria factible via software modificando bibliotecas y cambiando las tecnicas de programacion. EN pocas palabras, indicas que intel trabajara para resolver pronto esta vulnerabilidad.
Intel received notice of the research. This issue is not reliant on speculative execution, and is therefore unrelated to Spectre, Meltdown or L1 Terminal Fault. We expect that it is not unique to Intel platforms. Research on side-channel analysis methods often focuses on manipulating and measuring the characteristics, such as timing, of shared hardware resources. Software or software libraries can be protected against such issues by employing side channel safe development practices. Protecting our customers' data and ensuring the security of our products is a top priority for Intel and we will continue to work with customers, partners and researchers to understand and mitigate any vulnerabilities that are identified.Intel recibió aviso de la investigación. Este problema no depende de la ejecución especulativa y, por lo tanto, no está relacionado con Spectre, Meltdown o L1 Terminal Fault. Esperamos que no sea exclusivo de las plataformas Intel. La investigación sobre métodos de análisis de canales laterales a menudo se centra en la manipulación y medición de las características, como la sincronización, de los recursos de hardware compartidos. El software o las bibliotecas de software pueden protegerse contra tales problemas al emplear prácticas de desarrollo seguro de canal lateral. Proteger los datos de nuestros clientes y garantizar la seguridad de nuestros productos es una de las principales prioridades de Intel y continuaremos trabajando con los clientes, socios e investigadores para comprender y mitigar las vulnerabilidades que se identifican.
https://www.zdnet.com/article/intel-cpu ... nerability.
