Intel advarer om et "ufiksbart" sikkerhetsproblem på CPU-nivå som til og med kan kompromittere data lagret i skyen
Intel Corporation har avslørt en ganske alvorlig, men vanskelig å utnytte sikkerhetsproblemet. Det mest bekymringsfulle aspektet ved sikkerhetsfeilen er at den er innebygd i prosessorarkitekturen. Heldigvis er feilen ganske vanskelig å utnytte med vanlig tilgjengelig maskinvare og ressurser. Ikke desto mindre er millioner av PCer som kjører på Intel-prosessorer fra 2011 for tiden sårbare.
Intel har kunngjort enda en sikkerhetsfeil som dessverre ikke kan løses permanent med OTA-oppdateringer eller BIOS-flash. Feilen er rett i tråd med 'Spectre' og 'Meltdown', to her usettede sikkerhetsfeil oppdaget i fjor. Disse feilene tillot teoretisk at hackere fullstendig kan omgå tradisjonelle maskinvaresikkerhetsbarrierer. Ved å hoppe over den tilsynelatende ugjennomtrengelige sikkerheten, kan skumle agenter potensielt få tilgang til data en gang antatt å være sikkert holdt. I hovedsak kan sensitive data hentes rett fra maskinvaren mens den ble åpnet eller skrevet.
Det som er enda mer bekymringsfullt er at den siste feilen, i økende grad referert til som 'ZombieLoad', som er på CPU-nivå, potensielt kan kompromittere data som er lagret på eksterne servere. Dette er fordi ZombieLoad kan utløses i virtuelle maskiner. Disse emulerte mini-datamaskinene skulle være isolert fra andre virtuelle systemer og deres vertenhet.
Feilen lar hackere effektivt utnytte designfeil. Hackere trenger ikke jobbe med å injisere skadelig kode. Intel har antydet at ZombieLoad består av fire individuelle feil som kan utnyttes kollektivt. Feilen er dypt innebygd i arkitekturen til maskinvare. CPU-produsenten har forsikret at den ennå ikke har funnet bevis for at noen utnytter den utenfor et forskningslaboratorium.
Mens Intels CPUer fra 2011 og senere er sårbare, har selskapet gitt ut mikrokode for å lappe sårbare prosessorer, inkludert Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake og Haswell-chips. Videre har Intel angivelig jobbet med ledende teknologiselskaper som Google, Microsoft og Apple. Disse selskapene har gitt ut oppdateringer for å redusere risikoen. Det forventes at andre selskaper følger med. Selv om sluttbrukeren kanskje ikke føler det, kan oppdateringene få ned CPU-ytelsen hvor som helst mellom 3 og 9 prosent.