La CVE-2022-40982, conosciuta come "Downfall", è una vulnerabilità di sicurezza che colpisce alcuni processori Intel. Scoperta dal ricercatore di Google Daniel Moghimi, questa falla sfrutta l'istruzione Gather, una funzione progettata per accelerare il recupero dei dati da posizioni di memoria non contigue. La vulnerabilità consente a software non affidabili di accedere a dati sensibili, come password e chiavi di crittografia, da altri programmi in esecuzione sullo stesso sistema.

Processori interessati:

La vulnerabilità Downfall colpisce i processori Intel dalla sesta all'undicesima generazione, tra cui:

• Processor Core: Skylake, Kaby Lake, Coffee Lake, Whiskey Lake, Comet Lake, Ice Lake, Tiger Lake e Rocket Lake.
• Processori Xeon: Processori Xeon basati sulle stesse architetture.

I prodotti più recenti di Intel, come Alder Lake, Raptor Lake e Sapphire Rapids, dispongono di misure di difesa in profondità e non sono interessati da questa vulnerabilità.

Passaggi per la mitigazione:

Per mitigare la vulnerabilità Downfall, Intel ha rilasciato un aggiornamento del microcodice. Gli utenti devono installare l'aggiornamento del microcodice Intel Platform Update (IPU) 23.3, generalmente ottenuto dal produttore di apparecchiature originali (OEM). Questo aggiornamento abilita la mitigazione di default, senza opzione per disabilitarla.

Impatto sulle prestazioni:

L'applicazione della mitigazione potrebbe comportare un sovraccarico delle prestazioni, in particolare in carichi di lavoro che utilizzano le istruzioni AVX2 e AVX-512. Gli impatti sulle prestazioni possono variare a seconda del modello specifico del processore e delle caratteristiche del carico di lavoro. Ad esempio, alcuni test hanno mostrato riduzioni delle prestazioni comprese tra il 6% e il 39% in alcuni benchmark.