El 21 de mayo, tanto Google como Microsoft divulgan conjuntamente un nuevo defecto de seguridad de hardware de la CPU que es similar a Spectre and Meltdown.
La nueva falla de seguridad se conoce como "Speculative Store Bypass (variante 4)", que explota la ejecución especulativa que utilizan las CPU modernas. Sin embargo, vale la pena señalar que los navegadores como Safari de Apple, Microsoft's Edge y Chrome de Google fueron procesados para Meltdown a principios de este año y, como resultado, Intel dice, "estas mitigaciones también son aplicables a la variante 4 y están disponibles para los consumidores a usar hoy ".
El principal problema con esta nueva falla es un enlace directo a las actualizaciones de firmware, lo que significa que los administradores del sistema y otros que ejecutan las principales redes tendrán que elegir entre seguridad y rendimiento. Si se habilitan las protecciones de omisión de almacenamiento especulativo (variante 4), el rendimiento del sistema puede tener un impacto significativo. Sin embargo, Intel ha observado que estas protecciones están deshabilitadas por defecto en las actualizaciones que ya se han emitido a los OEM.
"La mayoría de los principales proveedores de navegadores han implementado mitigaciones en sus tiempos de ejecución administrados, mitigaciones que aumentan sustancialmente la dificultad de aprovechar los canales laterales en un navegador web moderno. Estas técnicas también aumentarían la dificultad de explotar un canal lateral en un navegador basado en SSB.
Intel ha lanzado actualizaciones de microcódigo Beta para vendedores de sistemas operativos, fabricantes de equipos y otros socios del ecosistema, agregando soporte para la deshabilitación especulativa del desvío de tiendas (SSBD). SSBD proporciona protección adicional al proporcionar un medio para que el software del sistema impida por completo que se produzca un bypass especulativo en el almacén si se desea. Esto está documentado en documentos técnicos ubicados en el sitio de Software Side-Channel Security de Intel. La mayoría de los principales sistemas operativos e hipervisores agregarán soporte para el desvío especulativo de deshabilitar tiendas (SSBD) que comenzará el 21 de mayo de 2018. "
Intel ha declarado que este último defecto de seguridad tiene una advertencia de riesgo "moderada", y eso tiene que ver con el hecho de que la mayoría de los exploits ya se han abordado hasta este punto. La mayoría de ellos se presentaron inicialmente en enero de este año, vinculados a las actualizaciones de seguridad relacionadas con Spectre y Metldown.
Como es el caso de Spectre y Meltdown, este problema es relevante para todos los procesadores modernos, incluidos Intel, AMD y ARM. Si necesita un repaso rápido sobre Spectre y Meltdown, consulte nuestras preguntas frecuentes . Apple, por su parte, admitió que sus productos iOS y Mac eran vulnerables a estos problemas a principios de este año, pero que los parches se estaban implementando.
Intel, también, señaló a principios de este año que las actualizaciones de seguridad harían que los dispositivos sean básicamente "inmunes" a Spectre y Meltdown .
Nuestra toma
Es bueno saber que la mayoría de estos problemas ya se han abordado, pero es triste ver que estamos en un punto donde estos defectos van a seguir apareciendo. Aún así, mientras continúen recibiendo parches, tendremos que aceptarlo.
[a través de The Verge ; Intel ( 1 ); ( 2 )]
La nueva falla de seguridad se conoce como "Speculative Store Bypass (variante 4)", que explota la ejecución especulativa que utilizan las CPU modernas. Sin embargo, vale la pena señalar que los navegadores como Safari de Apple, Microsoft's Edge y Chrome de Google fueron procesados para Meltdown a principios de este año y, como resultado, Intel dice, "estas mitigaciones también son aplicables a la variante 4 y están disponibles para los consumidores a usar hoy ".
El principal problema con esta nueva falla es un enlace directo a las actualizaciones de firmware, lo que significa que los administradores del sistema y otros que ejecutan las principales redes tendrán que elegir entre seguridad y rendimiento. Si se habilitan las protecciones de omisión de almacenamiento especulativo (variante 4), el rendimiento del sistema puede tener un impacto significativo. Sin embargo, Intel ha observado que estas protecciones están deshabilitadas por defecto en las actualizaciones que ya se han emitido a los OEM.
"La mayoría de los principales proveedores de navegadores han implementado mitigaciones en sus tiempos de ejecución administrados, mitigaciones que aumentan sustancialmente la dificultad de aprovechar los canales laterales en un navegador web moderno. Estas técnicas también aumentarían la dificultad de explotar un canal lateral en un navegador basado en SSB.
Intel ha lanzado actualizaciones de microcódigo Beta para vendedores de sistemas operativos, fabricantes de equipos y otros socios del ecosistema, agregando soporte para la deshabilitación especulativa del desvío de tiendas (SSBD). SSBD proporciona protección adicional al proporcionar un medio para que el software del sistema impida por completo que se produzca un bypass especulativo en el almacén si se desea. Esto está documentado en documentos técnicos ubicados en el sitio de Software Side-Channel Security de Intel. La mayoría de los principales sistemas operativos e hipervisores agregarán soporte para el desvío especulativo de deshabilitar tiendas (SSBD) que comenzará el 21 de mayo de 2018. "
Intel ha declarado que este último defecto de seguridad tiene una advertencia de riesgo "moderada", y eso tiene que ver con el hecho de que la mayoría de los exploits ya se han abordado hasta este punto. La mayoría de ellos se presentaron inicialmente en enero de este año, vinculados a las actualizaciones de seguridad relacionadas con Spectre y Metldown.
Como es el caso de Spectre y Meltdown, este problema es relevante para todos los procesadores modernos, incluidos Intel, AMD y ARM. Si necesita un repaso rápido sobre Spectre y Meltdown, consulte nuestras preguntas frecuentes . Apple, por su parte, admitió que sus productos iOS y Mac eran vulnerables a estos problemas a principios de este año, pero que los parches se estaban implementando.
Intel, también, señaló a principios de este año que las actualizaciones de seguridad harían que los dispositivos sean básicamente "inmunes" a Spectre y Meltdown .
Nuestra toma
Es bueno saber que la mayoría de estos problemas ya se han abordado, pero es triste ver que estamos en un punto donde estos defectos van a seguir apareciendo. Aún así, mientras continúen recibiendo parches, tendremos que aceptarlo.
[a través de The Verge ; Intel ( 1 ); ( 2 )]
¿Como esta publicación? ¡Compártelo!
No hay comentarios.:
Publicar un comentario