Hat évnyi viszonylagos nyugalom után ismét támadhatóvá váltak az Intel modern processzorai egy új, kritikus biztonsági rés révén. A Branch Privilege Injection (BPI) névre keresztelt sebezhetőséget (CVE-2024-45332 és CVE-2024-43420) a kutatók a Spectre-BTI (Branch Target Injection) típusú oldalsávos támadások új generációjaként azonosították – és ezzel gyakorlatilag visszatértek a 2018-ban felfedezett Spectre sebezhetőségek legsúlyosabb formái.

A Google kutatói jelentést küldtek az AMD-nek, melyben leírták az „AMD mikrokód aláírási ellenőrzés sérülékenységét” (AMD ID: AMD-SB-7033). A sérülékenység lehetővé teszi egy támadó számára, hogy rendszergazdai jogosultsággal aláírás nélküli mikrokód-patcheket töltsön be a CPU-ba. A kutatók demonstrálták, hogy hogyan hamisíthattak aláírásokat tetszőleges mikrokód-patchekhez.

Az AMD nem kapott bejelentést ilyen támadásról működő rendszerekben.

Az AMD mérnökei újabb javítással frissítik a Linux rendszert a Speculative Return Stack Overflow (SRSO, más néven "Inception") sebezhetőség kezelésére. Ez a javítás a sérülékeny AMD processzorokat érinti, és segít jobb kontrollt biztosítani a SRSO elleni védekezésben.

Manapság nem csak az Intel-nek kell biztonsági szivárgást betömnie. A CacheWarp egy az AMD Epyc első, második és harmadik generációs processzorokban felfedezett biztonsági rés, amely ehetővé teszi a támadók számára, hogy eltérítsék a vezérlést, betörjenek a titkosított VM-ekbe, és jogosultságnövelést hajtsanak végre a VM-en belül. Ez a most fellelt szoftveres hiba az AMD SEV-ES és SEV-SNP alrendszerek ellen irányuló sikeres támadás.

Az AMD processzorokat nem érinti a Downfall sebezhetőség, bár a nemrég bejelentett INCEPTION sebezhetőséggel (CVE-2023-20569) kell megküzdenie a gyártónak és a felhasználóinak. Az új spekulatív oldalcsatornás támadás minden Zen alapú processzort érint.

Intel a héten 38 új biztonsági figyelmeztetést tett közzé február óta az első Patch Tuesday keretében. A ma közzétett új hibabejelentések között szerepel a CVE-2023-28410, amely egy i915 Linux kernel grafikus illesztőprogram sebezhetőségét jelenti, és helyi privilégium emelkedéséhez vezethet. Az Intel péntek délután CPU mikrokód-frissítéseket tett közzé az összes támogatott processzorcsalád számára, visszamenőleg a Coffee Lake „Gen 8”-ig, biztonsági frissítésekkel.

(Frissítve) A Spectre nevű sérülékenység két hibája többé-kevésbé minden modern processzort, a Meltdown pedig az Intel elmúlt 10 évben megjelent valamennyi processzoraát és néhány erősebb ARM processzort érint – lehetővé téve adatszivárgást. Az Intel Management Engine sebezhetőségei pedig távoltól teszik elérhetővé a gépet. Mindegyik hibára született már hibajavítás, ezek telepítése elengedhetetlen lesz a jövőben a számítógépek biztonságos üzemeletetéséhez. Az első javítások még januárban jelentek meg, de az Intel mikrokód frissítés és a Windows frissítés is olyan hibákat okozott, mely után a gyártók újabb javításokat adtak ki.

Torvaldsnál most épp az Intel Spectre 2 sebezhetőségre adott javítás borította ki a bilit, amely a szakember szerint (is) több sebből vérzik. Torvalds úgy gondolja, hogy az Intel processzorait túlságosan visszavetné, ha az összes érintett termék tisztességes javítást kapna. Ezért a gyártó most tűzoltást végez, biztonsági javítás helyett sokkal inkább egy új, opcionálisan bekapcsolható védelmi funkcióként kezeli a Spectre 2-re adott megoldást.