L'agenzia nazionale tedesca per la sicurezza informatica - Bundesamtes für Sicherheit in der Informationstechnik (
BSI) - ha sostanzialmente
confermato le vulnerabilità
segnalate dal magazine tedesco c't. I test eseguiti dalla BSI, si spiega, hanno verificato che queste nuove vulnerabilità, genericamente indicate come
Spectre Next Generation o Spectre-NG, permettono in teoria l'accesso a zone di memoria normalmente non accessibili e la consultazione di dati potenzialmente critici come password e chiavi di cifrature.
La BSI
conferma anche che
non sembrano esserci al momento exploit per queste vulnerabilità, ma anche che averle rese note (sia pure senza dettagli tecnici) potrebbe spingere qualcuno a capire come sfruttarle.
Secondo la BSI è lecito aspettarsi a questo punto, dopo casi come WannaCry e Spectre, che i vendor dell'IT agiscano
in maniera più attenta di quanto visto sinora.
Arne Schoenbohm, presidente della BSI, ha in particolare sottolineato che "
Le necessarie misure di sicurezza devono essere esaminate da organismi indipendenti e i produttori e i provider devono aderire agli obblighi di reporting e trasparenza direttamente verso la BSI".
La BSI peraltro conferma che "
una rivisitazione dei processori vulnerabili non è fattibile a breve termine" per il
meccanismo stesso sfruttato dalle vulnerabilità come Spectre e Spectre-NG. E la sostituzione dei processori vulnerabili "
è fattibile solo nel lungo periodo".
Dato che il massimo obiettivo possibile è
minimizzare il rischio, la BSI invita in particolare i
cloud provider e chi fornisce soluzioni di virtualizzazione a valutare l'impatto di Spectre-NG nelle loro infrastrutture. I problemi così evidenziati dovrebbero essere affrontati il prima possibile, per minimizzare il rischio per chi usa i servizi cloud, e
i clienti devono essere informati su cosa è stato fatto e sui rischi che ancora permangono.