Intel advarer om en 'ufiksbar' sårbarhed på CPU-niveau, der endda kan kompromittere data, der er gemt i skyen
Intel Corporation har afsløret en ret alvorlig, men vanskelig at udnytte sikkerhedssårbarhed. Det mest bekymrende aspekt ved sikkerhedsfejlen er, at det er indlejret i processorarkitekturen. Heldigvis er fejlen ret vanskelig at udnytte med almindeligt tilgængelig hardware og ressourcer. Ikke desto mindre er millioner af pc'er, der kører på Intel-processorer fra 2011, i øjeblikket sårbare.
Intel har annonceret endnu en sikkerhedsfejl, som desværre ikke kan løses permanent med OTA-opdateringer (OTA) eller BIOS-flash. Fejlen er lige i retning af 'Spectre' og 'Meltdown', to heraf usete sikkerhedsfejl opdaget sidste år. Disse mangler gjorde det teoretisk muligt for hackere at omgå traditionelle hardwaresikkerhedsbarrierer. Ved at springe over den tilsyneladende uigennemtrængelige sikkerhed, kan onde agenter potentielt få adgang til data, når de først antages at være i sikkerhed. I det væsentlige kunne følsomme data hentes lige fra hardwaren, mens den blev åbnet eller skrevet.
Hvad der er endnu mere bekymrende er, at den seneste fejl, der i stigende grad kaldes 'ZombieLoad', som er på CPU-niveau, potentielt kan kompromittere data, der er gemt på eksterne servere. Dette skyldes, at ZombieLoad kan udløses i virtuelle maskiner. Disse emulerede mini-computere skulle isoleres fra andre virtuelle systemer og deres værtsenhed.
Fejlen giver hackere mulighed for effektivt at udnytte designfejl. Hackere behøver ikke arbejde på at indsprøjte ondsindet kode. Intel har angivet, at ZombieLoad består af fire individuelle fejl, der kan udnyttes kollektivt. Fejlen er dybt indlejret i arkitekturen af computerhardware. CPU-producenten har forsikret, at den endnu ikke har fundet noget bevis for, at nogen udnytter det uden for et forskningslaboratorium.
Mens Intels CPU'er fra 2011 og senere er sårbare, har virksomheden frigivet mikrokode for at patch sårbare processorer, herunder Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake og Haswell chips. Desuden har Intel efter sigende arbejdet med førende teknologivirksomheder som Google, Microsoft og Apple. Disse virksomheder har frigivet programrettelser for at mindske risikoen. Andre virksomheder forventes at følge. Selvom slutbrugeren måske ikke føler det, kan programrettelserne sænke CPU-ydelsen fra 3 til 9 procent.