La industria se coordina para hacer frente a nuevas variantes de Meltdown y Spectre

  • Vulnerabilidades

Intel, AMD, ARM, IBM, Microsoft y otras grandes compañías tecnológicas han lanzado actualizaciones y avisos para dos nuevas variantes de los métodos de ataque de ejecución especulativa conocidos como Meltdown y Spectre.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Nadie diría que han pasado cinco meses desde que iniciara un 2018 que quedará marcado en la historia como el año de Meltdown y Spectre, el antes y el después de que los ataques que explotan fallos en seguridad en el hardware tomen el relevo.

Se bautizaron como Meltdown y Spectre a los fallos de seguridad a nivel de chip que podían explotarse para acceder a datos sensibles. El fallo afectó a principalmente a procesadores de Intel, pero también a los de otras compañías, como AMD. Se tardaron varias semanas en poner un poco de orden, lanzar los parches y que todo funcionara, más o menos, pero la amenaza de Meltdown y Spectre sigue acompañándonos.

A primeros de este mes se descubrían otras ocho variantes de Spectre, que fueron bautizadas como Spectre Nex Generation, o Spectre NG. Y sin que acabemos el mes de mayo varias empresas tecnológicas se unen para anunciar lo que han llamado Speculative Store Bypass (Variante 4), que podría permitir que un atacante leer valores de memoria antiguos en la pila de una CPU u otras ubicaciones de memoria.

Microsoft
GDPR, el último empujón

Llegó el momento. GDPR será de obligado cumplimiento el 25 de mayo. ¿Estás preparado? ¿sabes cuáles son los requisitos mínimos para cumplir con el reglamento? ¿cuáles son los pasos a seguir en caso de brecha de seguridad? ¿qué puede reducir las cuantías de una multa?

Para dejarlo claro, los ataques Spectre eran posibles gracias a las vulnerabilidades CVE-2017-5753, o Variante 1, y CVE-2017-5715, o Variante 2; mientras que Meltdown era posible gracias a CVE-2017-5754 (Variante 3). Ahora, investigadores de Google Project Zero y Microsoft han identificado un nuevo método que se ha bautizado como Variante 4.

Variante 4 utiliza una ejecución especulativa, una técnica de optimización en CPUs para exponer ciertos tipos de datos, El exploit se puede ejecutar a través de un navegador web a través de tiempos de ejecución como JavaScript.

Por el momento se pide calma porque no se tiene constancia de que se esté explotando la nueva variante y que las reparaciones para evitar que se explote ya fueron implementadas para hacer frente a Meltdown y Spectre el pasado mes de enero.

Sobre los fallos conocidos como Spectre NG, se ha dicho que pueden ser al mismo tiempo más serias y fáciles de explota, pero lo cierto es que ninguno de los vendedores afectados parece preocupado por los descubrimientos, asignando diferentes ratios de severidad al problema.

 

TAGS Vulnerabilidades

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO