A Intel anunciou ontem (27/1) a terceira correção — numa série de tentativas — para solucionar a falha dos seus processadores conhecida como “ZombieLoad“.
A versão atual da brecha foi descoberta em maio passado, quando a empresa liberou a primeira atualização para tentar corrigir o problema — sem muito sucesso. Especificamente, as vulnerabilidades (CVE-2020-0548 e CVE-2020-0549) possibilitam que invasores roubem dados (histórico de navegação na web, senhas, mensagens, etc.) das máquinas equipadas com os processadores afetados, alguns deles datados de 2011.
Em novembro passado, a empresa comentou a persistência do problema e explicou melhor como as vulnerabilidades permitem que os computadores sejam invadidos. Na ocasião, a empresa afirmou que lançaria outra atualização para ajudar a reverter a questão, mas isso também não foi suficiente.
Agora, a Intel lançará a terceira atualização para seus processadores que visa resolver um problema “de amostragem de dados microarquiteturais”, ou MDS. Mais precisamente, ela tem como objetivo corrigir dois métodos usados para invadir os chips que permaneceram vulneráveis mesmo após as últimas duas atualizações.
Naquela época, confirmamos a possibilidade de que uma certa quantidade de dados ainda poderia ser acessada por meio de um canal lateral e seria tratada em futuras atualizações de microcódigo.
Em uma declaração à WIRED, um porta-voz da Intel afirmou que a empresa “está fazendo todos os esforços para validar as PoCs1Proofs of concept, ou provas de conceito. das vulnerabilidades o mais rápido possível”. Ele acrescentou também que a Intel “está trabalhando com todas as partes necessárias e desenvolvendo correções comprovadas”.
O problema, a essa altura, não é nem o lançamento de uma terceira atualização — e sim o fato de a Intel deixar variantes do MDS abertas por mais de 18 meses. Todo esse tempo foi mais do que suficiente para que crackers tenham se aproveitado da brecha, ainda que a fabricante não tenha conhecimento de nenhum caso de invasão.
De qualquer forma, a Intel espera liberar a atualização em breve para reduzir ao máximo os efeitos dessa falha.
Notas de rodapé
- 1Proofs of concept, ou provas de conceito.