Meltdown y Spectre, dos nuevas vulnerabilidades que afectan a las CPUs modernas

Escrito por Rubén Velasco

Sin duda, el año no podía empezar peor en cuanto a seguridad informática. A lo largo del día de ayer hemos podido ver cómo un fallo de diseño en los procesadores Intel ha puesto en peligro a todos los usuarios del mundo, y no solo eso, sino que su solución supone una pérdida de rendimiento en el equipo de en torno al 35%. Este fallo de seguridad ha sido denominado como Meltdown, pero no es el único que va a marcar, sin duda, el comienzo de 2018, y es que también se acaba de dar a conocer un nuevo fallo de seguridad que, en esta ocasión, afecta a prácticamente cualquier procesador moderno: Spectre.

Meltdown y Spectre es el nombre que se ha dado a estas dos vulnerabilidades que pueden permitir a un atacante acceder a cualquier tipo de información alojada en la memoria del sistema. Explotando correctamente estos fallos, cualquier proceso malicioso podría tener acceso a información secreta de otros procesos y podría robar sin dificultad contraseñas, datos de la cuenta, claves de cifrado y prácticamente cualquier tipo de información con la que trabaje este proceso.

Aunque se hayan dado a conocer al mismo tiempo, y se traten como una sola, en realidad se trata de dos vulnerabilidades diferentes.

  • Meltdown, por un lado, hace referencia a un fallo de seguridad en concreto que rompe el aislamiento entre las aplicaciones del usuario y el sistema operativo. Explotando este fallo de seguridad, cualquier programa podría acceder a la memoria y, por lo tanto, a la información secreta de cualquier otro proceso.
  • Spectre, por otro lado, rompe el aislamiento entre aplicaciones. Explotando este fallo de seguridad se puede engañar a cualquier aplicación, por muy segura que sea, para que revele información secreta.

Meltdown es un fallo de seguridad que afecta, según se ha podido comprobar, a todos los procesadores Intel fabricados desde 1995 hasta la fecha, excepto los Itanium y los Atom fabricados antes de 2013, y es básicamente el fallo de seguridad del que tanto se ha hablado a lo largo del día de ayer y cuya solución supondrá una pérdida considerable de rendimiento en las CPU.

Por desgracia, Spectre es un fallo de seguridad mucho más peligroso que afecta a todas las CPUs actuales, tanto de PC (ya sea Intel o AMD) como ARM, poniendo en peligro a los dispositivos móviles, e incluso a los chips de televisores, consolas, etc. Al ser un fallo de arquitectura en los procesadores, además, es muy complicado de solucionar, tanto que muchos creen que no tiene solución posible.

Ya empiezan a aparecer los primeros parches para protegernos de Meltdown y Spectre

Compañías como Amazon, por ejemplo, ya están trabajando en solucionar los fallos de seguridad que están poniendo en peligro a los usuarios de sus servicios y, aunque de momento solo se han aplicado los parches a un número muy reducido de servidores, se espera que en las próximas horas este número vaya aumentando.

Compañías como Microsoft y Apple, ya están ultimando los parches que permitirán solucionar estos fallos de seguridad en sus sistemas operativos. Android, por otro lado, ya ha liberado los parches de seguridad con la última actualización de seguridad, y los responsables de Linux aseguran que con los nuevos parches KAISER del Kernel estas vulnerabilidades deberían estar mitigadas ya.

Aunque Meltdown es muy sencillo de explotar, Spectre es una vulnerabilidad mucho más complicada de explotar, pero también mucho más difícil de mitigar. De todas formas, aunque sea complicada de explotar no significa que no nos esté poniendo en peligro, por lo que debemos tener mucho cuidado con las aplicaciones que ejecutamos para evitar ponernos en peligro, hasta que finalmente se liberen todos los parches correspondientes.

¿Qué opinas de estos dos graves fallos de seguridad que marcan la entrada de 2018?

Continúa leyendo