Spectre Variant 4 y Meltdown Variant 3a han sido confirmadas por Google y Microsoft

Detalles y parches sobre nuevas vulnerabilidades de CPU

Spectre y Meltdown fueron los primeros y con cada semana que pasa están recibiendo confirmaciones de nuevas vulnerabilidades. Las últimas de las cuales han sido confirmadas por Google y Microsoft, Spectre Variant 4 y Meltdown Variant 3a. La variante 4 de Spectre también se denomina Bypass de tienda especulativa. Este exploit permite al pirata informático obtener acceso a la información utilizando el mecanismo de ejecución especulativa de una CPU.

La información sobre Meltdown Variant 3a proviene del Project Zero de Google y del Centro de respuesta de seguridad de Microsoft. Los núcleos ARM Cortex-A15, -A57 y -A72 se han visto afectados por este problema. Hablando de Spectre Variant 4 hay una amplia gama de procesadores que se han visto afectados. Según el documento publicado por Intel:

CVE-2018-3639: derivación de almacenamiento especulativo (SSB), también conocida como variante 4

Los sistemas con microprocesadores que utilizan ejecución especulativa y ejecución especulativa de lecturas de memoria antes de que se conozcan las direcciones de todas las escrituras de memoria anteriores pueden permitir la divulgación no autorizada de información a un atacante con acceso de usuario local a través de un análisis de canal lateral.

Según Intel, Spectre Variant 4 es un riesgo de seguridad moderado ya que muchos de los exploits que utiliza ya se han solucionado. Intel declaró además lo siguiente:

Esta mitigación estará desactivada de forma predeterminada, lo que brindará a los clientes la opción de habilitarla. Esperamos que la mayoría de los socios de software de la industria también utilicen la opción de desactivación predeterminada. En esta configuración, no hemos observado ningún impacto en el rendimiento. Si está habilitado, hemos observado un impacto en el rendimiento de aproximadamente el 2 al 8 por ciento según las puntuaciones generales de los puntos de referencia como SYSmark (R) 2014 SE y la tasa de enteros SPEC en los sistemas de prueba cliente1 y servidor2.

Spectre Variant 4 no solo afecta a las CPU de Intel, sino también a AMD, ARM e IBM. AMD ha confirmado que las CPU en todos los ámbitos se han visto afectadas desde la primera generación de Bulldozer, esta no es una buena señal, pero afortunadamente estos problemas se pueden solucionar. Habiendo dicho todo esto, todavía hay 6 vulnerabilidades más de las que no se nos ha informado, pero que deberían hacerse públicas en la próxima semana.

Háganos saber lo que piensa sobre la variante Spectre 4 y la variante Meltdown 3a y lo que cree que debería hacerse para proteger a los consumidores que utilizan chips afectados por estas vulnerabilidades.