Descubren 8 nuevas variantes de Spectre en procesadores Intel, 4 de ellas críticas
En lo que parece el cuento de nunca acabar, se han detectado ocho nuevas variantes de Spectre que afectan a los procesadores de Intel en realidad. La empresa ha calificado a 4 de ellas de grado medio, pero las cuatro restantes están calificadas como críticas, es decir, son muy peligrosas e Intel ha de tomar cartas en el asunto ya.
Parecía que la historia de las vulnerabilidades Meltdown y Spectre habían dejado paso a un periodo de cierta calma, especialmente para Intel, que ha sido el fabricante de procesadores más afectado por ellas (aunque, por los resultados financieros récord del último trimestre, no parece que a los usuarios les haya importado gran cosa). Este fabricante ha estado sacando actualizaciones del microcódigo para procesadores tan antiguos como los núcleos Sandy Bridge de 2011.
Estas actualizaciones, junto con los parches del Sistema Operativo que se han sacado para Microsoft Windows, Apple MacOS y Linux, habían conseguido crear un clima de seguridad que ahora se ha roto, con el descubrimiento de las 8 nuevas variantes de Spectre para los procesadores del gigante azul. Variantes que, en algunos casos, hacen muy sencilla la instalación de los exploits en las máquinas objetivo, algo que con la variante Spectre original, no era tan sencillo de conseguir.
Las variantes de Spectre descubiertas permiten infectar a otras máquinas a través de una máquina virtual
Uno de los problemas que plantea Spectre NG (Next Generation) es que simplifica considerablemente, para el atacante, la tarea de infectar a la máquina objetivo, dado que es capaz de hacerse a través de una máquina virtual donde se instale el código que sirve para explotar la vulnerabilidad Spectre NG, y atacar al host desde un servidor que se encuentre en la nube. O atacar otras máquinas virtuales de diferentes clientes que se estén ejecutando en el mismo servidor. Por cierto, las Software Guard Extension (SGX) destinadas a proteger las contraseñas de los servidores en la nube, tampoco están a salvo de estas variantes de Spectre.
Al final, el ecosistema de procesadores actual parece más un queso de Gruyere, donde por cada agujero que consigues tapar, acaban apareciendo otros más. Esto es consecuencia de la aproximación que se ha hecho hasta el momento en cuanto a la seguridad que integran las arquitecturas internas de los procesadores, que parece que se han dejado bastante de lado, sin prestarles la atención que requieren por parte de los departamentos de diseño de las grandes empresas.
Por otro lado, sabemos que estas vulnerabilidades afectan a Intel, pero todavía no sabemos si también afectan a AMD. Siempre podría ser, dado que, si bien Meltdown afectaba a Intel en exclusiva, no sucede lo mismo con Spectre.