Dezvoltatorii FreeBSD si compania SCO au anuntat existenta unei vulnerabilitati in FreeBSD si in produsele SCO OpenServer si UnixWare, aceasta putand fi exploatata de atacatori pentru a sustrage informatii confidentiale.

Vulnerabilitatea este cauzata de o eroare de proiectare in tehnologia Hyper-Threading Technology (HTT) a modului in care firele de executie (thread) partajeaza diferite resurse ale unitatii centrale de procesare (CPU), inclusiv zonele de cache de memorie.

Aceasta face posibil ca un fir de executie sa poata monitoriza rularea unui alt fir de executie si sa acceseze informatii confidentiale din cadrul zonei cache de memorie partajata (de exemplu, cheile folosite de OpenSSH sau aplicatii ce folosesc tehnologia SSL).

Exploatarea cu succes necesita ca sistemul de operare sa utilizeze un procesor cu suport pentru tehnologia Hyper-Threading.

Produsele afectate de aceasta vulnerabilitate sunt: FreeBSD 4.x, FreeBSD 5.x, SCO OpenServer 5.x si UnixWare 7.x.x.

Este recomandata dezactivarea suportului de Hyper-Threading, iar pe sistemele ce ruleaza FreeBSD se recomanda aplicarea programelor corectoare (patch) lansate de producator:

Patch pentru FreeBSD 4.10:

ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:09/htt410.patch

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-05:09/htt410.patch.asc

Patch pentru FreeBSD 4.11:

ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:09/htt411.patch

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-05:09/htt411.patch.asc

Patch pentru FreeBSD 5.x:

ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:09/htt5.patch

ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:09/htt5.patch.asc