La Germania punta il dito contro Spectre Next Generation

Le nuove vulnerabilità segnalate da c't sono confermate dalla BSI, che invita i vendor e i cloud provider a intervenire

Autore: Redazione ImpresaCity

L'agenzia nazionale tedesca per la sicurezza informatica - Bundesamtes für Sicherheit in der Informationstechnik (BSI) - ha sostanzialmente confermato le vulnerabilità segnalate dal magazine tedesco c't. I test eseguiti dalla BSI, si spiega, hanno verificato che queste nuove vulnerabilità, genericamente indicate come Spectre Next Generation o Spectre-NG, permettono in teoria l'accesso a zone di memoria normalmente non accessibili e la consultazione di dati potenzialmente critici come password e chiavi di cifrature.

La BSI conferma anche che non sembrano esserci al momento exploit per queste vulnerabilità, ma anche che averle rese note (sia pure senza dettagli tecnici) potrebbe spingere qualcuno a capire come sfruttarle.

Secondo la BSI è lecito aspettarsi a questo punto, dopo casi come WannaCry e Spectre, che i vendor dell'IT agiscano in maniera più attenta di quanto visto sinora. Arne Schoenbohm, presidente della BSI, ha in particolare sottolineato che "Le necessarie misure di sicurezza devono essere esaminate da organismi indipendenti e i produttori e i provider devono aderire agli obblighi di reporting e trasparenza direttamente verso la BSI".

La BSI peraltro conferma che "una rivisitazione dei processori vulnerabili non è fattibile a breve termine" per il meccanismo stesso sfruttato dalle vulnerabilità come Spectre e Spectre-NG. E la sostituzione dei processori vulnerabili "è fattibile solo nel lungo periodo".

Dato che il massimo obiettivo possibile è minimizzare il rischio, la BSI invita in particolare i cloud provider e chi fornisce soluzioni di virtualizzazione a valutare l'impatto di Spectre-NG nelle loro infrastrutture. I problemi così evidenziati dovrebbero essere affrontati il prima possibile, per minimizzare il rischio per chi usa i servizi cloud, e i clienti devono essere informati su cosa è stato fatto e sui rischi che ancora permangono.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.