nuevo año con dos graves y masivas vulnerabilidades:Meltdown y Spectre

CERT: «la única manera de solucionar por completo Meltdown y Spectre es cambiando la CPU»

El mundo de la seguridad informática ha comenzado este nuevo año con dos graves y masivas vulnerabilidades de los procesadores modernos sobre la mesa: Meltdown y Spectre. La primera es la que conocimos ayer, ese error de diseño de las CPU de Intel que implica tener una puerta abierta a datos de la memoria del sistema y sufrir una posible ralentización del equipo con la solución.

https://youtu.be/bReA1dvGJ6Y

CERT: «la única manera de solucionar por completo Meltdown y Spectre es cambiando la CPU»

CERT (Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información creado en 1988 como respuesta al incidente del gusano Morris. Mientras Microsoft, Amazon y Google afirman que sus equipos están protegidos, CERT asegura que la mejor solución es cambiar la CPU afectada.

Meltdown y Spectre: Mozilla confirma que es posible un ataque basado en JavaScript

Estos errores afectan a procesadores Intel, AMD y ARM permitiendo que un atacante pueda obtener contraseñas almacenadas, fotos personales, correos electrónicos, mensajes instantáneos y documentos.

Leer más…?

Los parches de Windows para Meltdown y Spectre pueden provocar pantallazos azules al entrar en conflicto con algunos antivirus.

Microsoft Windows

Microsoft indicó ayer que había publicado una actualización de seguridad para mitigar el problema —si no te ha llegado automáticamente, lo hará probablemente en las próximas horas—, pero parece que dicha actualización no está exenta de problemas.

De hecho en una nota adicional Microsoft explicaba que la actualización podía entrar en conflicto con algunos antivirus, lo que podía dar lugar a que se produjeran errores graves y se mostraran las célebres «pantallas azules de la muerte». Si os ha ocurrido algo así tenéis a vuestra disposición un documento para tratar de solucionar el problema y esta actualización aunque el consejo aquí es, antes de aplicar una actualización, crear un punto de restauración desde la Configuración de Windows.

En Microsoft han recomendado instalar un antivirus compatible o bien hacer uso de Microsoft Security Essentials para evitar el problema. Además han revelado que para los usuarios de Windows 7, Windows Server 2008 R2 y Windows Server 2012 los desarrolladores de antivirus deberán usar una clave de registro específica para solucionar el problema.

Teléfonos Android

Según un documento reciente de Google, una actualización de seguridad que se publicará el 5 de enero de 2018 incluirá mecanismos para mitigar el problema y ayudar a proteger nuestros teléfonos, pero además se proporcionarán más actualizaciones para incluir más parches en este sentido.

Esas actualizaciones llegarán probablemente primero a los nuevos Pixel 2 o los Pixel de primera generación, mientras que otros dispositivos de la familia oficial de Google también podrán acceder especialmente rápido a estas actualizaciones.

Para el resto de dispositivos móviles basados en Android las actualizaciones dependerán de cada fabricante, así que conviene consultar con los servicios de soporte y de atención al cliente si queremos obtener más información al respecto. Es de esperar que en este caso esas actualizaciones se produzcan lo antes posible.

Google Chrome

El navegador de Google también dispone ya de mecanismos para proteger nuestras sesiones de navegación. El próximo 23 de enero se publicará Google Chrome 64, la nueva versión en la que se activarán por defecto estos mecanismos.

Uno de esos mecanismos es el llamado Site Isolation, que permite aislar sitios web en distintos espacios de direcciones de memoria para evitar problemas. Este mecanismo se puede activar ya manualmente en las actuales versiones de Chrome.

Para ello hay que ir a la dirección «chrome://flags/#enable-site-per-process» en el navegador, lo que nos presentará la opción marcada en amarillo y, al lado, un botón «Habilitar». Tras hacerlo tendremos que reiniciar el navegador, con lo que quedará activado ese sistema de mitigación del problema.

Si estamos en Android, el navegador Chrome también tiene esta opción disponible en la dirección «chrome://flags», aunque según avisan en Google hay funcionalidades adicionales y «conflictos de rendimiento» sin especificar qué puede ocurrir al activarla. En el caso de iOS Chrome hace usa del motor JavaScript de Apple, «así que los mecanismos de mitigación se heredan de los de Apple».

En el caso de Chrome OS si los usuarios están usando un kernel 3.18 o 4.4 (se puede encontrar esa información abriendo un terminal con la combinación Ctrl+Alt+T y luego escribiendo ‘uname -a’) esas versiones ya están parcheadas con el mecanismo Kernel Page Table Isolation (KPTI) en Chrome 63 o superior. Los Chromebooks basados en ARM (la lista completaestá aquí) no están afectados por el problema según Google, pero aún así parchearán estos productos también con KPTI más adelante.

Mozilla Firefox

Los responsables del blog de seguridad de Mozilla también han hablado del problema, y explican cómo sus propias pruebas confirman que estos ataques hacen posible usar «técnicas similares de contenido web que lea información privada entre distintos orígenes».

Los responsables de Mozilla han seguido un camino similar al de los de Microsoft con Edge, y han actualizado todos sus navegadores (en todos los canales) desde la versión 57 para modificar la forma en la que la funciónperformance.now() se comporta.

También han deshabilitado la característica ‘SharedArrayBuffer’ que también suponía un riesgo para estos navegadores, pero además están trabajando en aplicar otras medidas para evitar posibles ataques en este ámbito. Así pues, si sois usuarios de Firefox solo tendréis que actualizar vuestro navegador para poder contar con estos cambios.

Microsoft Edge e Internet Explorer 11

El navegador de Microsoft también podría estar afectado por el problema, y la actualización publicada ayer también estaba dirigida a mitigar el problema tanto en Microsoft Edge como en Internet Explorer 11.

En un documento publicado al respecto explican qué técnicas han utilizado para evitar la amenaza planteada por Meltdown y Spectre.

Para ello, explican, han eliminado el soporte de la característica «SharedArrayBuffer», y además han cambiado el funcionamiento interno de una de las funciones internas para hacer más difícil que un proceso pueda «cotillear» en la memoria de otro.

Parches de Apple macOS e iOS

Si eres usuario de iOS o macOS tenemos muchos menos datos que compartir. El alcance del problema en sus PCs de sobremesa, portátiles, tabletas y móviles es aún desconocido, y Apple no ha realizado ninguna declaración de momento.