Intel ficou mais de um ano sem corrigir falhas em processadores
A Intel liberou correções para essas falhas em maio, mas elas estavam incompletas
A Intel liberou correções para essas falhas em maio, mas elas estavam incompletas
A Intel está sendo acusada por um grupo de especialistas em segurança de ter liberado correções para um conjunto de falhas relacionado aos seus processadores, mas não ter deixado claro que, na verdade, parte das vulnerabilidades continuou sem solução.
Essa inusitada história começou em setembro de 2018, quando analistas da Universidade Livre de Amsterdã e outras instituições relataram à empresa uma série de problemas de seguranças que, se explorada, poderia dar a um invasor acesso a vários tipos de dados que o usuário armazena no computador.
Em maio de 2019, a Intel liberou um pacote de correções que deixava implícito que todos os referidos problemas tinham sido solucionados. Entre eles estão a falha ZombieLoad. Mas, de acordo com o New York Times, parte das falhas reportadas permaneceu sem a devida correção.
Os problemas não solucionados só receberam correções nesta semana. Como as vulnerabilidades foram reportadas em setembro de 2018, isso significa que parte delas ficou em aberto por mais de um ano.
Sabe-se que os pesquisadores que descobriram as falhas alertaram a Intel de que o pacote de correções liberado em maio não era totalmente eficaz. A pedido da companhia, eles ficaram em silêncio a respeito para que a Intel tivesse tempo hábil para desenvolver as correções, da mesma forma que eles não se manifestaram publicamente durante o período entre setembro de 2018 e maio de 2019.
Mas parece ter sido em vão: as correções liberadas nesta semana continuam incompletas. A exploração das brechas pode ser atenuada com elas, mas não totalmente evitadas. Em nota, a Intel reconheceu que algumas falhas ainda podem ser exploradas e prometeu solucioná-las em correções futuras e novas versões de processadores.
Novamente, a Intel foi alertada e teria solicitado um novo período de “silêncio” aos analistas. Desta vez, eles negaram o pedido. O motivo? A impressão de que a empresa não tem dado a devida importância às vulnerabilidades.
Na época em que as falhas Meltdown e Spectre vieram à tona, pesquisadores alertaram que problemas semelhantes ou relacionados poderiam surgir nos próximos meses. Era de se esperar que a Intel mantivesse uma postura mais proativa sobre elas, o que não estaria acontecendo.
Para Herbert Bos, professor da Universidade Livre de Amsterdã, “ainda há toneladas de vulnerabilidades, temos certeza”. O especialista completou dizendo que a Intel “não pretende fazer uma engenharia de segurança adequada [sobre seus chips] até que a sua reputação esteja em risco”.
Apesar disso, não há, pelo menos até o momento, relatos de que as falhas em questão foram exploradas em algum ataque.