Per molti, è stato un fulmine a ciel sereno quando le vulnerabilità di Meltdown e Spectre sono state esposte nel 2018. In breve, significa che gli aggressori malintenzionati possono aggirare la struttura gerarchica che si trova in un processore moderno, che deve impedire ai processi dipendenti di accedere a informazioni riservate. . Da allora, nuove patch e scoperte di vulnerabilità si sono sostituite a vicenda, ma in generale sono difficili da sfruttare nella pratica, quindi gli utenti ordinari raramente devono preoccuparsi.
Hertzbleed trae vantaggio dalle nostre esperienze che dimostrano che in determinate condizioni il ridimensionamento dinamico della frequenza dei moderni processori x86 dipende dai dati elaborati. Ciò significa che nei processori moderni, lo stesso programma può essere eseguito a una frequenza CPU diversa (e quindi richiede tempi di firewall diversi) quando si calcola, ad esempio, 2022 + 23823 rispetto a 2022 + 24436.
Attualmente Rapporti dei ricercatori sulla sicurezza A proposito di un nuovo ramo di vulnerabilità chiamato Hertzbleed, che colpisce i processori con una frequenza di clock dinamica, ovvero la frequenza di clock viene modificata in base al carico, alla temperatura e al budget di potenza. Sfruttando il fatto che il carico sul sistema varia in base ai processi, un utente malintenzionato può monitorare le frequenze di clock e combinarle con il tempo necessario per recuperare le informazioni crittografate.
La vulnerabilità si applica a tutti i processori Intel e alla maggior parte delle varianti AMD, poiché la modalità turbo è una funzionalità disponibile con la maggior parte dei prodotti aziendali. I ricercatori hanno attualmente avuto il tempo di confermare Hertzbleed per le serie da Core 8000 a Core 11000, nonché con i processori Zen 2 e Zen 3. Si prevede che anche i processori di altri produttori, come le alternative basate su ARM, saranno interessati, a condizione che hanno frequenze di clock dinamiche.
A nostra conoscenza, Intel e AMD non hanno in programma di pubblicare patch di microcodice per mitigare Hertzbleed. Tuttavia, Intel fornisce linee guida per mitigare Hertzbleed nel software. Gli sviluppatori di crittografia possono scegliere di seguire le linee guida di Intel per rafforzare le loro librerie e applicazioni contro Hertzbleed.
Tuttavia, non sono previste misure sotto forma di aggiornamenti del microcodice da parte di Intel e AMD. Poiché le frequenze del turbo sono alla radice del problema, l’unica azione semplice è disattivarle, il che comporta prestazioni notevolmente ridotte. Sia nei laptop che nei desktop, le frequenze turbo svolgono un ruolo importante, poiché consentono un equilibrio tra efficienza energetica e prestazioni elevate quando il carico lo richiede.
I problemi software possono anche essere risolti, cosa che Microsoft e Cloudflare hanno implementato, al costo di prestazioni del 5-11%. Le aziende colpite da Hertzbleed sono già state informate lo scorso autunno, quindi l’annuncio non include grandi minacce alla sicurezza. Per coloro che sono curiosi di leggere di più sui dettagli, ce n’è uno Rapporto di 19 pagine Disponibile (PDF).