¡4 años contigo!

Spectre y Meltdown, unas semanas después

Hace poco unas semanas se dieron a conocer las vulnerabilidades conocidas como Spectre y Meltdown, lo cual vino a alterar la tranquilidad después de las fiestas de fin de año.

En el blog de Forcepoint ahora hablan sobre los aprendizajes que se han obtenido en los últimos días debido a esas vulnerabilidades

La mayoría de los proveedores de sistemas operativos liberaron ya parches contra la vulnerabilidad Meltdown, aunque para algunos el nombre les resulta sorprendentemente apto: el parche tuvo algunos efectos bastante notables para algunos proveedores de servicio.

Por ejemplo, Microsoft detuvo la emisión de parches para ciertos sistemas basados en AMD y para otros que corren algunos paquetes antivirus ya que las máquinas no terminaron de arrancar.

Si bien los problemas con la ‘pantalla azul’ no se pudieron prever, sí se esperaban deficiencias en el desempeño antes del lanzamiento de los parches: los efectos de usar la separación ‘Kaiser’ en el espacio de la dirección del usuario y del kernel en el rendimiento de las aplicaciones que necesitan hacer llamadas frecuentes a las funciones del kernel (por ejemplo, acceso a la red, acceso a disco, etc.) se entendieron bien en la comunidad técnica antes de que se lanzaran los parches.

Finalmente los parches para Meltdown se han liberado y todos deberían ya poder dormir tranquilamente (suponiendo que han aplicado los parches según las instrucciones de los proveedores).

El asunto de Spectre es mucho más complejo, y describe efectivamente un tipo de vulnerabilidades de sincronización en el canal lateral. Se han identificado al menos dos vectores de ataque que utilizan Spectre a los que se refieren como como browser-Spectre y kernel-Spectre.

Observando a browser-Spektre, no todos los navegadores han actualizado sus motores JavaScript para brindar protección contra éste (Chrome, por ejemplo, reporta que las mitigaciones se incluirán a partir de Chrome 64, programado para liberarse el 23 de enero de 2018). Por otro lado, si bien parece que varios navegadores son o fueron vulnerables, los investigadores no parecen haber tenido mucho éxito en usar la técnica para extraer información útil.

En tanto, Kernel-Spectre provocó en un principio más preocupación ya que no podía atenuarse con un parche para el sistema operativo, en efecto, hubo preocupaciones iniciales que pudieran haber tenido que esperar una nueva generación de CPUs para ver una protección real contra la vulnerabilidad.

Tal como se esperaba, Intel y AMD van a lanzar actualizaciones para brindar protección contra Spectre, por lo que hay que esperar a que se libere un nuevo ciclo de CPUs completo. En el lado negativo, es probable que estas actualizaciones afecte el desempeño a través de una gama mucho más amplia de aplicaciones que los parches para Meltdown que se relacionan con la manera en que operan las CPUs a un nivel muy fundamental.

Forcepoint Security Labs sigue recomendando apegarse a una política de parcheo robusta: si bien hay implicaciones de desempeño conocidas que se asocian a algunos de los parches proporcionados por los proveedores, la mayoría de las organizaciones está dispuesta a acelerar este impacto para su tranquilidad.

De igual forma, hay que tener en mente que los parches de los proveedores de software (como Microsoft, Apple y distribuciones de Linux) y de hardware (como Intel, AMD, proveedores de SAN, tarjetas madre, etc.) podrían tener que aplicarse para lograr la máxima cobertura contra estas explotaciones.

 

Deja un comentario