8 fallas más de tipo espectro encontradas en chips Intel (informe)

Si pensaba que Intel estaba dejando atrás las fallas de Spectre y Meltdown, bueno, nada es tan simple. Según un informe de la revista informática alemana C'T, Intel planea abordar ocho nuevas vulnerabilidades derivadas del mismo problema de diseño en sus CPU que llevó a Spectre y Meltdown, y ha reservado una serie de números de Vulnerabilidades y Exposiciones Comunes (CVE). para ellos.

El 3 de mayo, el vicepresidente ejecutivo y gerente general de garantía y seguridad de productos de Intel, Leslie Culbertson, emitió una declaración sobre posibles nuevos problemas de seguridad:

"Proteger los datos de nuestros clientes y garantizar la seguridad de nuestros productos son prioridades críticas para nosotros", escribió Culbertson. "Trabajamos de forma rutinaria en estrecha colaboración con clientes, socios, otros fabricantes de chips e investigadores para comprender y mitigar cualquier problema que se identifique, y parte de este proceso implica reservar bloques de números CVE.

"Creemos firmemente en el valor de la divulgación coordinada y compartiremos detalles adicionales sobre cualquier problema potencial a medida que finalizamos las mitigaciones. Como mejor práctica, seguimos alentando a todos a mantener sus sistemas actualizados".

Si bien, según se informa, la mayoría de los problemas tienen el mismo nivel de riesgo que Spectre, que ciertamente puede llegar a ser bastante alto, hay una pepita interesante: una falla que permitiría fácilmente a un pirata informático malintencionado explotar el código en una máquina virtual y atacar el sistema host, ya sea Sea una sola PC o, digamos, el servidor de una gran corporación, y acceda a más máquinas virtuales de esa manera.

"Aunque los ataques a otras máquinas virtuales o al sistema host ya eran posibles en principio con Spectre, la implementación en el mundo real requería tanto conocimiento previo que fue extremadamente difícil", dijo la versión en inglés de la historia de C'T. "Sin embargo, la vulnerabilidad de Spectre-NG antes mencionada se puede explotar con bastante facilidad para ataques a través de los límites del sistema, elevando el potencial de amenaza a un nuevo nivel".

C'T se refiere a las ocho vulnerabilidades como Spectre-NG (Next Generation), pero ese parece ser un nombre inventado por parte de la revista. La revista sugiere que cada vulnerabilidad podría tener su propio nombre, y probablemente habrá ocho parches diferentes, uno para cada número.

El informe indica que la primera ola de parches podría estar disponible en mayo (el próximo martes de parches de Microsoft para Windows 10 es el martes 8 de mayo), mientras que el resto se está preparando para agosto.

El informe sugiere que algunos chips ARM pueden ser vulnerables a las fallas de Spectre-NG, y que AMD está investigando si esto también afecta a sus procesadores. Meltdown afectó a algunos chips ARM y AMD.

Pero Spectre afecta a casi todas las CPU en las últimas dos décadas, y si estos nuevos informes son correctos, no eliminaremos vulnerabilidades similares en el corto plazo hasta que haya un rediseño completo de los procesadores.

"Parece que por cada problema solucionado, surgen otros dos", decía el artículo de C'T. "Durante los últimos veinte años, las consideraciones de seguridad solo han jugado un papel secundario en el desempeño en el desarrollo de procesadores".

Crédito de la imagen: BeeBright / Shutterstock