Saltar al contenido

Nuevas vulnerabilidades del tipo de espectro confirmadas: qué hacer

21 mayo, 2018

Intel, AMD, ARM e IBM ayer (21 de mayo) confirmaron que sí hubo defectos adicionales del tipo Spectre en sus CPU, como alegó a principios de este mes una revista alemana, junto con una nueva falla tipo Meltdown. Las vulnerabilidades podrían aprovecharse en los ataques basados ​​en el navegador a los usuarios, pero deberían aplicarse parches a nivel del sistema en las próximas semanas.

shutterstock 1038302431 Crédito: Markusenes / Shutterstock

Las fallas tipo Espectro, denominadas Variante 4 en un blog publicado por Leslie Culbertson de Intel , vicepresidenta ejecutiva y gerente general de Product Assurance and Security en Intel, fueron reportadas por primera vez a principios de mayo por la revista alemana C’T , que Habían sido informados acerca de los defectos de los investigadores de entonces sin nombre (algunos de los cuales trabajaban para Microsoft y Google ) y llamaron a los defectos Specter NG o Next Generation. (, y aquí hay una lista de los procesadores Intel afectados ).

La falla similar a Meltdown se llama Variant 3a y es menos grave en general. Será parcheado a través de las próximas actualizaciones de firmware de la CPU, no a través de parches del sistema operativo.

AMD lanzó su propia declaración de que los arreglos de Variant 4 estaban siendo implementados por los distribuidores de Microsoft y Linux. ARM dijo que cuatro de sus últimos procesadores de la serie A Cortex se vieron afectados por la Variante 4 y que incluyeron mitigaciones técnicas. IBM detalló cómo los defectos de Variant 4 afectaron sus chips de PODER.

MÁS: Meltdown and Spectre: Cómo proteger su PC, Mac y teléfono

Qué puedes hacer

Culbertson dijo que “las mitigaciones basadas en el navegador [para la Variante 4 … ya se han implementado y están disponibles para su uso hoy en día”, así que mantenga su navegador actualizado. Chrome debe actualizarse automáticamente, siempre que reinicie su máquina de vez en cuando. Para verificar si Chrome tiene una actualización pendiente, vaya a chrome: // settings / help, donde verá el estado de su versión.

Firefox también debe actualizarse, pero puedes confirmar su estado por ti mismo. Simplemente haga clic en el botón de menú, haga clic en Ayuda y seleccione Acerca de Firefox. Si hay actualizaciones disponibles, Firefox las descargará automáticamente.

Los navegadores Edge e Internet Explorer de Microsoft se actualizan a través de Windows Update, que usted querrá verificar para actualizaciones en todo el sistema. El navegador Safari de Apple también se aprovecha de las actualizaciones del sistema, aunque aún no había noticias de Intel o Apple sobre si los Mac habían sido o serían parcheados contra los nuevos fallos de Spectre.

Culbertson dijo que Intel “ya entregó la actualización de microcódigo para la variante 4 en forma de beta a los fabricantes de sistemas OEM y proveedores de software de sistemas”, y que este parche debería ser “lanzado al BIOS de producción y actualizaciones de software en las próximas semanas”.

Espere ver las notificaciones del sistema del software de actualizaciones propietarias en su sistema, como Dell SupportAssist o HP Support Assistant. Esos llegarán pronto y deberían descargarse para proteger su PC.

Más sobre la variante 4

Culbertson escribe que Intel “no ha visto ningún informe sobre el uso de este método en exploits del mundo real”, pero eso no debería hacer que los usuarios demoren las actualizaciones.

Al igual que las otras fallas de Spectre y Meltdown ya divulgadas, las vulnerabilidades de Variant 4 y Variant 3a están enraizadas en la ejecución especulativa, un método de acelerar los procesos de una CPU que se ha convertido en algo común en las últimas dos décadas.

Arreglar o mitigar cualquier defecto de Spectre o Meltdown ralentiza los procesos de CPU, y Culbertson dice que los chips Intel que implementaron los parches para Specter Variant 4 “observaron un impacto en el rendimiento de aproximadamente 2 a 8 por ciento” en base a los puntajes generales para las pruebas comparativas.