Una soluzione temporanea è meglio di niente. Vmware mette le sue appliance virtuali al riparo dai pericoli di Spectre e Meltdown, le ormai famigerate vulnerabilità scoperte all'interno dei processori Intel e – per una delle due – anche in quelli di Amd. Dall'azienda sinonimo di virtualizzazione sono giunti alcuni update per una serie di soluzioni, ovvero vCloud Usage Meter, Identity Manager (vIDM), vCenter Server, vSphere Data Protection, vSphere Integrated Containers e vRealize Automation. Soluzioni che, si è scoperto, sono soggette ai rischi legati all'esecuzione speculativa.
Impiegata da molti processori (e in quelli di Intel dell'ultimo decennio), si tratta di una tecnica che permette di ottimizzare le prestazioni e di ridurre i consumi energetici eseguendo in modo “anticipato” alcune istruzioni. Pur utile, questo elemento è alla base delle vulnerabilità Spectre e Meltdown e può essere sfruttato da malintenzionati per ottenere informazioni sul funzionamento delle Cpu e sferrare attacchi di tipo side-channel: nel peggiore dei casi, è teoricamente possibile che aggirino una serie di misure di sicurezza per accedere al kernel. Le vulnerabilità che preoccupano Vmware sono indicate come CVE-2017-5753 (Bounds Check bypass), CVE-2017-5715 (Branch Target Injection) e CVE-2017-5754 (Rogue data cache load).
La società ha elencato le appliance toccate dal problema e quelle che non lo sono, associando al primo gruppo la dicitura “in attesa di patch”. Non è dato conoscere le tempistiche, ma quel che conta è che sia già possibile (direttamente dal sito di Vmware, e con una serie di passaggi più o meno complessi) mettere al sicuro i diversi sistemi coinvolti installando per ciascuno l'aggiornamento consigliato, che è sostanzialmente una mitigazione. Come spiegato dall'azienda, queste misure sono sufficienti per bloccare eventuali atacchi ma vanno considerate “solo come una soluzione temporanea, mentre i correttivi permanenti saranno rilasciati non appena disponibili”.