Premios Xataka México 24 powered by Schneider Electric

Así están reaccionado las compañías tecnológicas ante el gran fallo de diseño en los procesadores

Ahora mismo estamos presenciando como un fallo en los procesadores, supuestamente presente desde hace una década, está explotando de forma importante dejando vulnerables a millones de usuarios, esto mientras las compañías tecnologías tratan de entender qué fue lo que pasó y cómo resolverlo cuanto antes.

Para quien haya estado desconectado, todo comenzó cuando se descubrió que la vulnerabilidad afectaba a todos los procesadores de Intel supuestamente por un fallo de diseño. Horas más tarde, Intel salió a aclarar algunos detalles mencionado que el exploit afecta no sólo a ellos, sino a muchos dispositivos más y que ya están trabajando en solucionarlo. Ahora, los diferentes fabricantes están emitiendo comunicados para informar cómo este fallo podría afectar a sus usuarios y dispositivos.

Veamos las reacciones de cada uno de ellos.

Intel

Como ya vimos, en un inicio todo se volcó sobre Intel, quienes después de una horas salieron a aclarar algunos detalles de la vulnerabilidad. Donde lo más importante es que mencionan que no sólo afecta a sus procesadores, sino a varios dispositivos más de otras compañías y sistemas operativos.

"Intel y otras compañías de tecnología han tenido conocimiento de nuevas investigaciones de seguridad que describen métodos de análisis de software que, cuando se utilizan con fines maliciosos, tienen el potencial de recopilar incorrectamente datos confidenciales de dispositivos informáticos que funcionan según lo diseñado. Intel cree que estos exploits no tienen la posibilidad de corromper, modificar o eliminar datos.

"Los informes recientes de que estos exploits son causados ​​por un "error" o un "fallo" exclusivo de los productos de Intel son incorrectos. Según el análisis realizado hasta el momento, muchos tipos de dispositivos informáticos, con procesadores y sistemas operativos de muchos proveedores diferentes, son susceptibles a estos exploits".

Microsoft

Microsoft ya ha publicado una actualización para Windows 10, la cual soluciona el fallo pero no dan detalles de cómo lo hace. Asimismo, Microsoft está confirmando que las actualizaciones para Windows 7 y Windows 8 están en camino para las próximas horas.

Asimismo, Microsoft informó que han aplicado una actualización en Azure, la cual protege el sistema y donde además no han visto una baja en el rendimiento.

"Somos conscientes de este problema que afecta a toda la industria y hemos trabajado estrechamente con los fabricantes de chips para desarrollar y probar soluciones que protejan a nuestros clientes. Estamos en el proceso de implementar actualizaciones para los servicios en la nube y también estamos lanzando actualizaciones de seguridad para proteger a los clientes de Windows contra las vulnerabilidades que afectan a los chips de Intel, ARM y AMD. No hemos recibido ninguna información que indique que estas vulnerabilidades se hayan utilizado para atacar a nuestros clientes ".

Google

Los de Mountain View van más allá, ya que confirman que su grupo de investigadores de Proyecto Zero descubrieron la vulnerabilidad el año pasado, lo que les dio tiempo para mitigar el fallo y evitar cualquier problema en sus productos que pudiese afectar a sus usuarios.

Asimismo, ofrecen detalles de la vulnerabilidad y aclaran que productos como Chromecast y el navegador Chrome no están afectados, mientras que están tomando medidas para evitar ataques en Android, Chrome OS y Google Cloud. Google también menciona que hasta el momento no han recibido información de intentos de ataque en Android.

"Para aprovechar esta vulnerabilidad, el atacante primero debe poder ejecutar código malicioso en el sistema de destino.

Los investigadores del Project Zero descubrieron tres métodos (variantes) de ataque, que son efectivos bajo diferentes condiciones. Las tres variantes de ataque pueden permitir que un proceso con privilegios de usuario normal realice lecturas no autorizadas de datos de memoria, las cuales pueden contener información confidencial como contraseñas, material de claves criptográficas, etc.

Para mejorar el rendimiento, muchas CPU pueden optar por ejecutar instrucciones especulativamente sobre la base de suposiciones que se consideran probables. Durante la ejecución especulativa, el procesador verifica estas suposiciones; si son válidos, entonces la ejecución continúa. Si no son válidos, se desenrolla la ejecución y se puede iniciar la ruta de ejecución correcta en función de las condiciones reales. Es posible que esta ejecución especulativa tenga efectos secundarios que no se restauran cuando se desenrolla el estado de la CPU, y puede conducir a la divulgación de información. No hay una solución única para las tres variantes de ataque; cada uno requiere protección de forma independiente. Muchos proveedores tienen parches disponibles para uno o más de estos ataques."

Aquí hay que destacar el caso del navegador Google Chrome, donde a pesar de que la misma Google dice que no está siendo afectado, se ha descubierto que el atacante puede aprovechar la vulnerabilidad para que con sólo una URL pueda obtener información confidencial del usuario durante el proceso de renderizado.

Amazon

Amazon Web Services menciona que un pequeño porcentaje de sus EC2 ya han sido parcheados, y en las próximas horas se terminará la actualización en el resto. Aquí se pide a los usuarios que también actualicen sus sistemas operativos para evitar problemas.

"Esta es una vulnerabilidad que ha existido por más de 20 años en arquitecturas modernas de procesadores como Intel, AMD y ARM en servidores, ordenadores de escritorio y dispositivos móviles. En nuestro caso, un pequeño porcentaje de Amazon EC2 ya están protegidos contra la vulnerabilidad, mientras que los restantes se completarán en las próximas horas. Mantendremos informados a los clientes sobre información adicional con actualizaciones en nuestro boletín de seguridad."

ARM

Como lo adelantábamos hace unas horas, ARM confirma que algunos de sus procesadores Cortex-A son susceptibles a ataques derivados de la vulnerabilidad, mientras que sus Cortex-M, que son los de baja potencia para dispositivo IoT, no están en riesgo.

"ARM ha estado trabajando junto con Intel y AMD para abordar un método de análisis que explota las técnicas de ejecución especulativa utilizadas en ciertos procesadores de gama alta, incluidos algunos de nuestros procesadores Cortex-A. Este método requiere que el malware se ejecute localmente, lo que podría provocar el acceso a datos confidenciales almacenados en la memoria. Hay que destacar que nuestros procesadores Cortex-M, que se encuentran en dispositivos de IoT de baja potencia, no se ven afectados.

Estamos alentando a nuestros socios a implementar las actualizaciones de software desarrolladas si sus chips se ven afectados."

AMD

A pesar de las pruebas y los comentarios de algunas compañías, AMD insiste en que sus procesadores no están siendo afectados por esta vulnerabilidad.

"Para ser claros, el equipo de investigación de seguridad identificó tres variantes que apuntan a la ejecución especulativa. La amenaza y la respuesta a estas tres variantes difieren según la compañía de microprocesadores, y AMD no es susceptible a ninguna de estas tres variantes. Debido a las diferencias en la arquitectura de AMD, creemos que nuestros procesadores en este momento presentan un riesgo cercano al cero por ciento. Esperamos que la investigación de seguridad se publique más tarde y en ese momento proporcionaremos más detalles."

Actualización (4 de enero 2018): añadimos los comentarios de Mozilla y Apple.

Apple

Han pasado casi 36 horas desde que se dio a conocer el fallo de diseño en los procesadores Intel, AMD y ARM, y Apple finalmente ha emitido un comunicado sin sorpresas, donde confirma que sus dispositivos están afectados, pero minimizan el riesgo y prometen futuras actualizaciones para tratar de resolver esta vulnerabilidad.

"Todos los sistemas Mac y dispositivos iOS se ven afectados, pero no hay exploits conocidos que impacten a nuestros clientes en este momento. Dado que para aprovechar está vulnerabilidad se requiere cargar una aplicación maliciosa en los dispositivo Mac o iOS, por lo que recomendamos descargar software proveniente de fuentes confiables, como la App Store. Apple ya ha lanzado actualizaciones en iOS 11.2, macOS 10.13.2 y tvOS 11.2 para ayudar a defenderse contra Meltdown. El Apple Watch no se ve afectado por Meltdown. En los próximos días planeamos liberar actualizaciones para Safari que ayudarán a protegerse de Spectre. Continuamos desarrollando y probando soluciones adicionales para estos problemas y los lanzaremos en las próximas actualizaciones de iOS, macOS, tvOS y watchOS."

Mozilla

Mediante una entrada en su blog, Mozilla también ha querido dejar claro cómo afecta este problema a sus productos, además de confirmar que han lanzado Firefox 57.0.4, el cual incluye dos soluciones que ayudan enfrentar posibles ataques vía Spectre.

"Nuestros experimentos internos confirman que es posible utilizar técnicas similares desde contenido web para leer información privada desde diferentes orígenes. Ya se está investigando este tipo de ataques, trabajando con expertos en seguridad para comprender esta amenaza y encontrar soluciones."

Ver todos los comentarios en https://www.xataka.com.mx

VER 1 Comentario

Portada de Xataka México