La "bomba" di Spectre e Meltdown è stata abbastanza potente da dare uno scossone a un po' tutto il mondo dell'IT. Se gli scettici restano convinti che l'approccio stesso della speculative execution ora vada considerato vulnerabile, i produttori di processori spiegano che non sono stati rilevati exploit in Rete e hanno approntato le patch di sicurezza per ridurre il rischio di attacco.

Le patch, in questa fase, soprattutto contengono il problema separando nettamente gli ambienti dei processi utente da quello del kernel del sistema operativo. Questo evita la possibilità che codice ad hoc possa sfruttare la speculative execution per consultare dati di altri processi o genericamente dell'OS. È il rischio rappresentato da Meltdown e da una delle due varianti di Spectre. La patch però rende più "pesante" il context switching per la CPU, quindi ha un effetto anche minimo di rallentamento delle prestazioni del sistema.

Quanto sensibile sia questo rallentamento, spiega Intel, dipende dal singolo sistema e dal tipo di applicazioni che si eseguono. Mediamente i suoi test indicano che è intorno al 6-7 percento e che può arrivare al 10 per applicazioni particolari, come quelle web basate su operazioni JavaScript complesse. Per il mondo cloud, Microsoft ha spiegato che dopo aver applicato le patch ai server di Azure gli utenti delle macchine virtuali non dovrebbero sperimentare particolari rallentamenti.



Nel mondo dei processori x86 le patch sono mediamente a buon punto. Intel dichiara che entro l'inizio della prossima settimana avrà reso disponibili patch per il 90 percento dei processori interessati e che il restante 10 percento sarà protetto entro fine mese. AMD non è interessata da Meltdown, che è la minaccia oggi più urgente, e le patch dei sistemi operativi (Windows, Linux e macOS sono già stati "patchati") dovrebbero limitare la versione più semplice di Spectre.

Al di fuori dei processori standard c'è da segnalare che IBM ha già predisposto patch per le CPU Power7+ e Power8, mentre le Power9 dovrebbero essere coperte il prossimo 15 gennaio. Ma si tratta di patch per ambienti Linux, se usate AIX o IBM i ci sarà da aspettare almeno sino al 12 febbraio. Da parte sua, ARM ha reso disponibile il microcodice corretto per i processori Cortex interessati.

La situazione resta comunque fluida perché le forme di attacco previste da Spectre e Meltdown sono completamente nuove rispetto al panorama tradizionale delle minacce informatiche. Come ha spiegato Red Hat descrivendo le sue patch, "questi sono i primi giorni dopo la scoperta di una classe completamente nuova di vulnerabilità nella sicurezza di sistema e, quindi, i rimedi e le best practice possono cambiare nel tempo".