La industria se coordina para hacer frente a nuevas variantes de Meltdown y Spectre
- Vulnerabilidades
Intel, AMD, ARM, IBM, Microsoft y otras grandes compañías tecnológicas han lanzado actualizaciones y avisos para dos nuevas variantes de los métodos de ataque de ejecución especulativa conocidos como Meltdown y Spectre.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Nadie diría que han pasado cinco meses desde que iniciara un 2018 que quedará marcado en la historia como el año de Meltdown y Spectre, el antes y el después de que los ataques que explotan fallos en seguridad en el hardware tomen el relevo.
Se bautizaron como Meltdown y Spectre a los fallos de seguridad a nivel de chip que podían explotarse para acceder a datos sensibles. El fallo afectó a principalmente a procesadores de Intel, pero también a los de otras compañías, como AMD. Se tardaron varias semanas en poner un poco de orden, lanzar los parches y que todo funcionara, más o menos, pero la amenaza de Meltdown y Spectre sigue acompañándonos.
A primeros de este mes se descubrían otras ocho variantes de Spectre, que fueron bautizadas como Spectre Nex Generation, o Spectre NG. Y sin que acabemos el mes de mayo varias empresas tecnológicas se unen para anunciar lo que han llamado Speculative Store Bypass (Variante 4), que podría permitir que un atacante leer valores de memoria antiguos en la pila de una CPU u otras ubicaciones de memoria.
Para dejarlo claro, los ataques Spectre eran posibles gracias a las vulnerabilidades CVE-2017-5753, o Variante 1, y CVE-2017-5715, o Variante 2; mientras que Meltdown era posible gracias a CVE-2017-5754 (Variante 3). Ahora, investigadores de Google Project Zero y Microsoft han identificado un nuevo método que se ha bautizado como Variante 4.
Variante 4 utiliza una ejecución especulativa, una técnica de optimización en CPUs para exponer ciertos tipos de datos, El exploit se puede ejecutar a través de un navegador web a través de tiempos de ejecución como JavaScript.
Por el momento se pide calma porque no se tiene constancia de que se esté explotando la nueva variante y que las reparaciones para evitar que se explote ya fueron implementadas para hacer frente a Meltdown y Spectre el pasado mes de enero.
Sobre los fallos conocidos como Spectre NG, se ha dicho que pueden ser al mismo tiempo más serias y fáciles de explota, pero lo cierto es que ninguno de los vendedores afectados parece preocupado por los descubrimientos, asignando diferentes ratios de severidad al problema.