Meltdown y Spectre: dos vulnerabilidades que afectan a millones y ponen de cabeza a las empresas de procesadores

Los grandes de la tecnología están combatiendo dos vulnerabilidades que se acaban de descubrir en los principales procesadores del mercado. Las vulnerabilidades, que han recibido los nombres de Meltdown y Spectre, son fallas de diseño que abren la posibilidad de que usuarios maliciosos roben de la memoria los datos privados que se manejan en los equipos, como contraseñas y llaves criptográficas.

El problema se encuentra en la ejecución especulativa de los procesadores: cuando están ejecutando un código especulan sobre cuáles serán las instrucciones que se le pedirán a continuación y, para ganar velocidad, las sacan de la memoria y ejecutan. Si se equivoca, tiene que deshacer el código que se ejecutó de manera especulativa y ejecutar el correcto. Pero no deshacen los errores del todo, y restos de datos que no deberían haber conseguido se mantienen accesibles en sus cachés temporales.

Esto significa que las aplicaciones, malware y JavaScript que se ejecuta en navegadores web pueden conseguir información a la que no deberían tener acceso: los contenidos de las áreas privadas de la memoria kernel, que tienen archivos caché del disco, información sobre la memoria física del equipo y otros datos que deberían ser invisibles para los programas comunes.

Y peor aun, al no borrarse del todo, esta información se mantiene al alcance de cibercriminales y programas maliciosos que buscan credenciales e información personal. De esta manera, los delincuentes pueden alinear una serie de códigos para que los sistemas de ejecución especulativa cometan errores a propósito y guarden en su caché la información que les interesa a los atacantes.

Las vulnerabilidades afectan en diferentes medidas a las principales compañías de procesadores: Intel, AMD y ARM, pero la imagen de Intel es la que está recibiendo los golpes más duros. Es probable que esto se deba a que cuando se descubrió la amenaza se apuntó de forma directa a Intel sin que se descubriera aún que los otros procesadores tenían el mismo problema.

Las repercusiones legales no han tardado en hacerse notar: esta semana, Intel ha recibido tres demandas colectivas de diferentes lugares de Estados Unidos: California, Oregón e Indiana. Los demandantes exigen una retribución por las pérdidas que les causará el tiempo ocupado en arreglar sus equipos. Intel ya había abordado este asunto en declaraciones previas, asegurando que “a diferencia de lo que dicen algunos informes, cualquier impacto en el funcionamiento dependerá de la carga de trabajo del equipo y no será significativa para el usuario común, además de que se mitigará con el tiempo”.

En las tres demandas también se acusa a Intel de haber dado a conocer la vulnerabilidad de una manera irresponsable, ya que conoce la falla desde junio y tardó más de seis meses en advertir a sus usuarios sobre el problema para que tomen las medidas de seguridad pertinentes.

Por lo pronto, tanto Intel como gran parte de las compañías de procesadores y servicios de tecnología se han movilizado para desarrollar y poner a disposición del público actualizaciones que mitiguen las amenazas. “Intel ya ha publicado actualizaciones para la mayor parte de los procesadores que introdujo durante los últimos cinco años. Hasta el fin de semana, esperamos emitir actualizaciones para más del 90% de los productos introducidos dentro de los últimos cinco años. Además, muchos vendedores de sistemas operativos, proveedores de servicios en la nube, fabricantes de dispositivos y otros han indicado que han actualizado sus productos y servicios”, dijo Intel en un comunicado de prensa. Los expertos en seguridad recomiendan instalar todos los parches de seguridad lo antes posible y navegar de forma consciente y prestando atención a las prácticas de seguridad para estar protegidos contra cualquier amenaza que pueda devenir de éstas y otras vulnerabilidades.

Fuentes

Meltdown, Spectre: The password theft bugs at the heart of Intel CPUs The Register

Intel facing class-action lawsuits over Meltdown and Spectre bugs The Guardian

Meltdown, Spectre updates aplenty, but the fix is more complicated SC Magazine