Na noite passada, a Intel divulgou mais duas informações importantes sobre vazamento de dados, relacionadas à questão de Zombieload e TAA de novembro. O problema é recorrente desde o ano passado e não foi totalmente resolvido.
Aqui estão os detalhes dos novos vazamentos de dados feitos pela Intel:
- CVEID: CVE-2020-0548
Descrição: Erros de limpeza em alguns processadores Intel (R) podem permitir que um usuário autenticado ative a divulgação de informações via acesso local.
Pontuação básica do CVSS: 2.8 Baixa
- CVE-2020-0549
Descrição: Erros de limpeza em algumas remoções de cache de dados para alguns processadores Intel (R) podem permitir que um usuário autenticado ative a divulgação de informações por meio de acesso local.
Pontuação Base CVSS: 6.5 Médio
O CVE-2020-0548 é conhecido como Vector Register Sampling (Amostragem de registro vetorial, em tradução livre). Da mesma forma, a CVE-2020-0549 está sendo chamada de L1D Eviction Sampling (Amostragem de despejo L1D).
Uma variante de canal de execução especulativa conhecida como L1D Eviction Sampling pode permitir que o valor dos dados de algumas linhas de cache modificadas no cache de dados L1 seja inferido sob um conjunto específico de condições complexas.
A amostragem de remoção de L1D deve ser mitigada pelas novas atualizações de microcódigo da CPU.
Uma variante de canal de execução especulativa conhecida como Amostragem de registro vetorial pode permitir que os valores parciais de dados de algumas operações vetoriais sejam inferidos sob um conjunto específico de condições complexas que incluem operações vetoriais executadas após um período de inatividade.
A Amostragem de registro vetorial também exigirá atualizações de microcódigo da CPU e eles recomendam restrições de agendamento SMT (SMT scheduling restrictions) para reduzir o risco de exposição.
Apesar de todos os alertas, até este momento, nenhuma atualização de microcódigo da CPU foi lançada para usuários do Linux. Portanto, isso deve ocorrer a qualquer momento ao longo do dia ou desta semana.
Fonte: Phoronix