Intel publica mitigaciones contra una vulnerabilidad descubierta en sus procesadores gráficos

Intel ha publicado hace poco parches para mitigar un fallo de seguridad (CVE-2019-14615) descubierto en la novena generación y anteriores de sus aceleradores gráficos, más concretamente los incluidos en los procesadores que van desde Skylake hasta Coffe Lake, además de Ivy Bridge y Haswell.

Según han recogido en Phoronix, la vulnerabilidad consiste en un “flujo de control insuficiente en ciertas estructuras de datos en algunos procesadores Intel con acelerador gráfico, que puede permitir que un usuario no autenticado filtre información a través de acceso local”. La situación descrita hace que la peligrosidad de la vulnerabilidad no sea muy alta al requerir acceso en local, por lo que no puede ser explotada de forma remota.

Lo curioso del fallo de seguridad son los aceleradores gráficos de Intel afectados, que abarcan las generaciones novena (Gen9) y séptima (Gen7 y Gen7.5) incluidos en los procesadores de Skylake hasta Coffe Lake más Ivy Bridge y Haswell. Esto quiere decir que la octava generación (Gen8) se ha librado de estar afectada por el fallo de seguridad.

La mitigación incluida en el kernel Linux para la novena generación implica el uso de una función de hardware existente que permite borrar por la fuerza todos los estados del UE (el conjunto de instrucciones utilizado por la arquitectura de Intel para el procesamiento de gráficos) en cada cambio de contexto.

Sin embargo, la situación en Ivy Bridge y Haswell es algo diferente, ya que en los aceleradores gráficos de esos procesadores se llama a un núcleo de UE personalizado antes de cada restauración de contexto para borrar los recursos del UE y el URB (Búfer de Retorno Unificado), así que antes de introducir el parche se está midiendo el impacto en el rendimiento. Si bien hemos abarcado el tema desde la perspectiva de Linux, Intel tendría que llevar a cabo un proceso similar en sus drivers gráficos para Windows.

Mientras que el parche para Ivy Bridge y Haswell todavía está en camino, el que cubre la vulnerabilidad en Gen9 ya ha sido fusionado con el código de Linux, por lo que tendría que empezar a llegar a los usuarios de todas las distribuciones soportadas a través de una actualización estándar. En el caso de Windows, si el driver no es actualizado a través del actualizador del sistema operativo, se puede recurrir a la descarga manual del driver para aplicar la mitigación, algo que se tiene que hacer sobre todo en empresas y en todo ordenador que pueda ser susceptible de ser compartido.

Si bien en ocasiones anteriores hemos cubiertos vulnerabilidades que afectan a los procesadores de Intel, es importante tener en cuenta que en esta ocasión afecta al acelerador gráfico y no a la parte dedicada a ejercer las funciones de la CPU. Siendo más concretos, el caso que nos ocupa afecta a los gráficos, mientras que los anteriores se centraron en la ejecución especulativa en la que se apoyan la mayoría de los procesadores modernos para dar todo su potencial.