A Intel está finalmente confirmando que seus processadores para computadores são vulneráveis a uma variação adicional do Spectre, aquele problema de segurança descoberto no início do ano que afeta quase todas as CPUs que estão no mercado.
A revista alemã de computação C’t foi a primeira a reportar as falhas adicionais, que podem ser exploradas em um browser usando um processo de runtime (tempo de execução), um “javascript”, em 3 de maio. Quando nós perguntamos para fabricantes de CPU, incluindo Intel e AMD, eles se recusaram a comentar. Em vez disso, fizeram alusões sobre um embargo — que é quando as empresas (assim como pesquisadores de segurança e jornalistas) seguram uma informação até ser o tempo de divulgá-la.
Isso não impediu a Alemanha de continuar a reportar ameaças sérias sobre o novo problema. Na última semana, o Escritório Federal para Segurança da Informação da Alemanha pediu para as fabricantes das CPUs afetadas arrumarem as falhas o mais rápido possível, além disso a entidade emitiu um alerta para os consumidores, desafiando o embargo estabelecido.
O Gizmodo não estava envolvido nesse embargo ou nos detalhes sobre ele. No entanto, agora a Intel está confirmando a reportagem da revista alemã C’t. Em um blog post, Leslie Culbertson, vice-presidente executiva de segurança e garantia de produto da Intel, confirmou as que as vulnerabilidades adicionais existiam.
As vulnerabilidades parecem ser uma variedade do Spectre, que tira a vantagem de computação especulativa — uma prática que pode ser usada por quase todos microprocessadores modernos. Chamada Variant 4, essa nova falha pode ser explorada usando um navegador. A boa notícia é que a correção no início do ano para o Spectre no Chrome e o Firefox ja protegem o computador dessa vulnerabilidade. Portanto, se você não atualizou seu navegador, é melhor ficar esperto.
Uma correção de software para o problema é esperada para ser lançada pelas maiores fabricantes de computador nas próximas semanas e uma correção beta já tem sido liberada por essas companhias.
Sobre o quanto a correção pode deixar seu computador mais lento, a Intel diz que observou um “impacto de 2 a 8% aproximadamente”. Isso pode ser pouco para a maioria das pessoas, mas se considerar as correções anteriores, isso pode tornar o computador dos usuários ainda mais lento.
No fundo, isso confirma que as fabricantes de CPU precisam aprender uma nova forma de usar processamento especulativo ou essas vulnerabilidades vão continuar a acontecer. Vai ser um processo um pouco chato, se nada for feito: as fabricantes de CPU vão continuar a se gabar pela velocidade das CPUs para depois lançar patches e torná-las mais lentas após o lançamento. Se você é um especialista no assunto, é uma ótima época para se trabalhar; agora, se você for um engenheiro da Intel, nem tanto.
Além da Intel, AMD e ARM confirmaram que estão sujeitas à vulnerabilidade, o que significa que os mesmos conselhos de segurança se aplicam para quem tem computadores AMD ou smartphones com processador ARM (tanto Qualcomm como a Apple são baseados nessa arquitetura): mantenha tudo que você tiver atualizado.