Intel golpea con cuatro para

Parece que es una demanda en abundancia ya que los abogados huelen sangre en el agua, ya que tanto AMD como Intel han sido golpeados con demandas de errores x86. Si bien es bastante sencillo en lo que respecta a Intel, las demandas de AMD tienen un tema ligeramente diferente: alegan que la empresa tergiversó el riesgo y cambió su postura en la segunda actualización de seguridad (más sobre esto a continuación). Si bien no ha habido ninguna respuesta de Intel, AMD ha declarado que estas afirmaciones son completamente infundadas y las combatirá en los tribunales.

Parece que es una demanda en abundancia ya que los abogados huelen sangre en el agua, ya que tanto AMD como Intel han sido golpeados con demandas de errores x86. Si bien es bastante sencillo en lo que respecta a Intel, las demandas de AMD tienen un tema ligeramente diferente: alegan que la empresa tergiversó el riesgo y cambió su postura en la segunda actualización de seguridad (más sobre esto a continuación). Si bien no ha habido ninguna respuesta de Intel, AMD ha declarado que estas afirmaciones son completamente infundadas y las combatirá en los tribunales.

Demanda en abundancia en medio de la caída de insecto x86: Intel golpeó con 4 demandas por error x86, AMD con 2 por presunta incorrección material

Antes de ir más allá, aquí hay una lista de demandas contra cada compañía:

Comencemos por el principio con Intel. A menos que haya estado viviendo bajo una roca en la luna, sabrá sobre las vulnerabilidades de CPU x86 detectadas por Google Project Zero que afectan prácticamente a todos los procesadores modernos en la Tierra que se produjeron en la última década. Estos se dividieron en 3 variantes: Variante 1, Variante 2 y Variante 3. Las Variantes 1 y 2 se denominaron “Espectro” y la Variante 3 se denominó “Derretimiento”. La variante 1 ‘Spectre’ fue un error que hizo vulnerable prácticamente a todos los procesadores modernos (incluido AMD) mientras que la variante 3 es un error que afecta a Intel, ARM, Qualcomm y Apple, y que utiliza algunas características avanzadas de ejecución especulativa. Como AMD no usa estas características en su arquitectura, es prácticamente inmune a la variante 3.

Entonces, ¿hubo una escalada de riesgo desde la primera declaración de AMD hasta la segunda? Vamos a averiguar

Entonces, el punto de discusión se convierte en la Variante 2 ‘Spectre’. También es el punto de conflicto y confusión para casi todos los involucrados. Cuando se publicaron las declaraciones originales, AMD declaró lo siguiente sobre los tres tipos de vectores de ataque:

  • Variante 1 (Spectre): resuelto por las actualizaciones de software / sistema operativo que los proveedores de sistemas y fabricantes pondrán a su disposición. Impacto de rendimiento insignificante esperado.
  • Variante 2 (Spectre): las diferencias en la arquitectura AMD significan que existe un riesgo casi nulo de explotación de esta variante. La vulnerabilidad a la Variante 2 no se ha demostrado en los procesadores AMD hasta la fecha.
  • Variante 3 (fusión): Vulnerabilidad AMD cero debido a diferencias de arquitectura AMD.

La implicación de estas declaraciones es clara, AMD es vulnerable a 1 tiene “riesgo cero” a 2 y es inmune a 3. En otras palabras, AMD ha declarado que el único vector de ataque que los clientes deben preocuparse es la variante Spectre 1. Algunos días después de que se publicaron más detalles, AMD proporcionó una declaración actualizada sobre el mismo conteo:

GPZ Variant 1 (Bounds Check Bypass o Specter) es aplicable a los procesadores AMD.

  • Creemos que esta amenaza se puede contener con un parche de sistema operativo (SO) y hemos estado trabajando con los proveedores del sistema operativo para abordar este problema.
  • Microsoft está distribuyendo parches para la mayoría de los sistemas AMD ahora.
  • Los proveedores de Linux también están implementando parches en los productos de AMD ahora.

GPZ Variant 2 (Branch Target Injection o Spectre) es aplicable a los procesadores AMD.

  • Si bien creemos que las arquitecturas de procesador de AMD dificultan la explotación de la Variante 2, seguimos colaborando estrechamente con la industria en esta amenaza.
  • Hemos definido pasos adicionales a través de una combinación de actualizaciones de microcódigo de procesador y parches de SO que pondremos a disposición de los clientes y socios de AMD para mitigar aún más la amenaza.
  • AMD pondrá a disposición actualizaciones de microcódigos opcionales para nuestros clientes y socios para los procesadores Ryzen y EPYC a partir de esta semana.
  • Los proveedores de Linux han comenzado a implementar parches del sistema operativo para los sistemas AMD, y estamos trabajando estrechamente con Microsoft en el momento de distribuir sus parches. También estamos participando muy de cerca con la comunidad Linux en el desarrollo de (Retpoline mitigaciones de software).

La variante 3 de GPZ (carga o fusión de caché de datos deshonestos) no es aplicable a los procesadores AMD.

Creemos que los procesadores AMD no son susceptibles debido a nuestro uso de protecciones de nivel de privilegios dentro de la arquitectura de paginación y no se requiere ninguna mitigación.

Aquí hay un extracto de uno de los pleitos:

En una publicación de blog, el equipo de Project Zero afirmó que uno de estos defectos de seguridad, denominado vulnerabilidad “Spectre”, permite a terceros recopilar contraseñas y otros datos confidenciales de la memoria de un sistema. En respuesta al anuncio del equipo Project Zero, un portavoz de AMD informó a los inversores que, si bien sus propios chips eran vulnerables a una variante de Spectre, había un riesgo “casi cero” de que los chips AMD fueran vulnerables a la segunda variante de Spectre.
Luego, el 11 de enero de 2018, después de la comercialización, AMD emitió un comunicado de prensa titulado “Una actualización sobre la seguridad del procesador AMD”, reconociendo que sus chips eran, de hecho, susceptibles a ambas variantes de la falla de seguridad de Specter.

AMD ha respondido comprensiblemente con una posición de “estos reclamos son completamente infundados”. Entonces, en esta declaración actualizada, AMD sigue siendo vulnerable a la Variante 1 como antes y aún inmune a Meltdown como antes. Sin embargo, hay un cambio de redacción con respecto a la Variante 2. Pasó de la forma ‘riesgo casi nulo’ a implementar parches opcionales para mitigar el riesgo. Entonces la pregunta es, ¿AMD materialmente malinterpretó la situación? Bueno no. No cambió en absoluto su declaración, aunque podría parecer que sí.

Por lo que puedo decir, no ha habido ningún cambio en la declaración de riesgo de casi cero, ya que se basa en el hecho de que esta vulnerabilidad específica no se ha demostrado en el sistema de AMD hasta la fecha. Esto sigue siendo cierto, lo que significa que no se produjo una escalada de riesgo entre la primera declaración y la segunda.

Dicho esto, algunos clientes de empresas y consumidores querían comprensiblemente un parche atenuante independientemente, de manera preventiva y sin esperar a que se desarrollara un vector de ataque. Esta es la razón por la cual AMD proporciona actualizaciones de microcódigo opcionales a los socios de consumidores y empresas. La declaración puede parecer confusa y puedo ver por qué los abogados se abalanzarían sobre ella, pero un parche opcional para mitigar un futuro vector de ataque potencial no es lo mismo que aceptar que la vulnerabilidad existe en este momento. La palabra clave aquí es opcional. Si en realidad hubo una nueva declaración material o una escalada de riesgo, dicho parche no sería opcional, como es el caso de la variante Specter 1.

El problema radica en que AMD declara la Vulnerabilidad 2 aplicable a sus procesadores, lo que deja abierta la interpretación que los abogados ya han tomado. En cualquier caso, los pleitos pueden oscilar de cualquier manera y parece que tanto Intel como AMD están a la vuelta de la esquina, con Intel lidiando con 4 acciones de clase y AMD con 2.