Lazy FP: una nueva vulnerabilidad que afecta a CPUs Intel

No está siendo un buen año para Intel. La compañía de Santa Clara tiene problemas en todos los frentes: AMD ha vuelto pisando fuerte con la arquitectura Zen y está plantando cara a Intel en casi todos los segmentos, tanto en consumo general como en el sector profesional, y el descubrimiento de fallos de seguridad en sus procesadores Core, Pentium, Atom y Xeon se ha visto agravado por la presencia de vulnerabilidades exclusivas de su arquitectura como Meltdown y Lazy FP.

La vulnerabilidad Lazy FP ha sido anunciada recientemente y se suma a la larga lista de fallos de seguridad que afectan a los procesadores Intel. No tenemos muchos detalles sobre su funcionamiento y la razón es muy sencilla, con esto se evita que los cibercriminales puedan llegar a aprovecharla y se da un mayor plazo al gigante del chip para que lance una solución vía software.

A pesar de todo sabemos que la vulnerabilidad está presente en aquellos procesadores que usan lo que se conoce como «conmutación de unidad de coma flotante» (FPU o «floating point unit»). Como dijimos es exclusiva de los procesadores Intel (no afecta a AMD) y se estima que todos los modelos de la serie Core están afectados (desde la primera hasta la octava generación, así como sus variantes Pentium, Celeron y Xeon).

En la fuente de la noticia indican que esta vulnerabilidad ya se conocía desde hacía un tiempo (agosto del año pasado) y que Intel habría presionado a los investigadores de seguridad para que retrasaran el anuncio de la misma. Al final los investigadores decidieron anunciar la existencia de Lazy FP para presionar al gigante de Santa Clara de cara al desarrollo de una solución definitiva antes de que esta vulnerabilidad llegue a ser explotada.

Lazy FP ha sido considerada como una vulnerabilidad de gravedad «media», lo que significa que aunque representa un riesgo claro para el usuario no llega al nivel de otras que han sido consideradas como «críticas». Sin embargo esto no quiere decir que debamos tomarla a la ligera, ya que los atacantes pueden utilizarla para obtener información sobre la actividad de diferentes operaciones, incluidas las de cifrado, gracias a un fallo a nivel de ejecución especulativa en las CPU de Intel que resulta similar a lo visto las diferentes variantes de vulnerabilidades Spectre.

No hay duda de que la ejecución especulativa se ha convertido en un quebradero de cabeza para Intel y que la única solución real es un cambio total de arquitectura, es decir el lanzamiento de nuevos procesadores con correcciones a nivel de silicio. Los parches y actualizaciones de BIOS funcionan, pero afectan al rendimiento del sistema y si siguen apareciendo vulnerabilidades la situación podría volverse insostenible.