Investigadores de
Microsoft y Google han descubierto una cuarta variante de los fallos de
seguridad de Meltdown-Spectre que filtran datos que afectan a las CPU modernas.
Hasta ahora, solo
conocíamos de 3 variantes sobre esta vulnerabilidad:
·
Variante
1 y 2: CVE-2017-5357 y CVE 2017-5715 conocidas como Spectre.
·
Variante
3: CVE-2017-5754 conocida como Meltdown.
Ahora, los
investigadores de seguridad han descubierto una cuarta (CVE-2018-36-39)
conocida como Speculative Store Bypass. Se trata de una variante que aprovecha
la ejecución especulativa que usan las CPU modernas para exponer datos
confidenciales a través de un canal lateral.
A diferencia de
Meltdown que impactó principalmente a los chips de Intel, esta afecta también a
otros fabricantes. Destaca Intel, AMD y ARM, así como CPU Power 8, Power 9 y
System Z de IBM. Es decir, esta vulnerabilidad afecta a casi todos los PC,
teléfonos inteligentes, tabletas y dispositivos electrónicos integrados,
independientemente del fabricante o sistema operativo.
Red Hat, la famosa
distribución de Linux, ha proporcionado un video que describe este nuevo fallo
de seguridad, y junto a él una guía. https://www.redhat.com/en/blog/speculative-store-bypass-explained-what-it-how-it-works
La mitigación, que
está desactivada por defecto, produce una bajada del rendimiento de entre un 2
y un 8 por ciento generalmente.
De momento, hasta que
Intel y otros fabricantes no liberen chips actualizados, no habrá una solución
permanente. Únicamente dispondremos de mitigaciones a modo de parches, los
cuáles ralentizarán el funcionamiento de nuestra CPU.
Más información:
·
Guía
de Red Hat: https://www.redhat.com/en/blog/speculative-store-bypass-explained-what-it-how-it-works
Fuente: Hispasec