O Google divulgou na noite desta quarta-feira, 3 de janeiro, mais detalhes sobre a vulnerabilidade revelada durante a manhã, que colocou a Intel na berlinda por uma brecha de segurança que poderia causar perda de desempenho com uma correção. O detalhamento da brecha, porém, confirma a defesa da Intel de que a falha não é exclusividade sua. Basicamente, não existe fabricante livre da falha.
Segundo a publicação no blog do Google, a brecha foi descoberta pelo Project Zero, ação da companhia que visa buscar vulnerabilidades em serviços e produtos de outras empresas para torná-los mais seguros. A falha foi reportada para a AMD, para a Intel e também para a ARM no dia 1º de junho de 2017.
O problema reside numa técnica chamada “execução especulativa”, usada pelos processadores modernos para otimização de desempenho. No entanto, o pesquisador do Project Zero Jann Horn demonstrou que é possível usar esse recurso para ler partes da memória do sistema que deveriam ser inacessíveis. Desta forma, seria possível para alguém com más intenções roubar informações guardadas na memória, como senhas, chaves de criptografia e e informações delicadas abertas em aplicativos.
Com uma vulnerabilidade desse nível afetando basicamente todas as grandes fabricantes de processadores, isso também significa que não há muito quem se salve de uma brecha assim. ARM, Intel e AMD fornecem chips para basicamente todos os tipos de produtos rodando todos os principais sistemas, incluindo Windows, Android e iOS, além de outros sistemas menos populares como macOS e Linux.
Por ser uma falha no nível de hardware, também não é exatamente fácil realizar atualizações de segurança que fechem a vulnerabilidade. As fabricantes de processadores precisam liberar novos firmwares, que devem ser complementados com atualizações de sistemas operacionais por parte das fabricantes dos dispositivos. Isso dificulta bastante a vida especialmente dos usuários de Android, que têm o eterno problema de fragmentação dificultando o acesso do público às versões mais recentes do sistema. O Google informa que usuários que instalarem o pacote de segurança que a empresa libera mensalmente referente ao mês de agosto ficarão seguros.
Já a Microsoft agiu rapidamente para proteger seus usuários e anunciou um pacote de correção emergencial para o Windows, o que é pouco usual para a a empresa. Normalmente ela guarda atualizações de segurança para serem lançadas na famosa “Patch Tuesday”, como é conhecida a segunda terça-feira do mês. Outras empresas devem se manifestar em breve com atualizações de segurança.