Un team di ricercatori di sicurezza ha scoperto un’altra seria vulnerabilità nelle CPU Intel che potrebbe consentire a un utente malintenzionato di individuare i dati sensibili riservati, come password e chiavi crittografiche, da altri processi in esecuzione nello stesso core CPU con funzionalità simultanea multi-threading abilitata.
La vulnerabilità, nome in codice PortSmash (CVE-2018-5407), è entrata a far parte dell’elenco di altre pericolose vulnerabilità scoperte nell’ultimo anno, tra cui Meltdown e Spectre , TLBleed e Foreshadow .
Scoperta da un team di ricercatori sulla sicurezza dell’Università di Tecnologia di Tampere in Finlandia e dall’Università Tecnica dell’Avana, a Cuba, la nuova vulnerabilità risiede nella tecnologia Intel Hyper-Threading, l’implementazione dell’azienda di Simultaneous MultiThreading (SMT)
La correzione per la vulnerabilità di PortSmash consiste nel disabilitare SMT / Hyper-Threading nel BIOS del chip della CPU fino a quando Intel non rilascerà una patch di sicurezza. Gli utenti OpenSSL possono eseguire l’aggiornamento a OpenSSL 1.1.1 (o> = 1.1.0i se si cercano patch).
