Nuevas vulnerabilidades afectan a las CPUs Intel con Spectre Next Generation (Spectre-NG)
Intel tiene un serio problema con su microarquitectura, hasta el punto que los parches lanzados hasta ahora, que además de repercutir negativamente en el rendimiento de los sistemas, no está evitando la llegada de nuevas vulnerabilidades, siendo la ultima de ellas Spectre Next Generation (Spectre-NG) la cual engloba 8 nuevos agujeros de seguridad en la arquitectura del gigante azul, serios problemas sabiendo que a la vuelta de la esquina llega la plataforma Intel Z390 basada en la misma arquitectura y que arrastrará todos estos problemas.
Cada una de las ocho vulnerabilidades tiene su propio número en el directorio Common Vulnerability Enumerator (CVE), y cada una de ellas requiere sus propios parches. Es probable que cada vulnerabilidad reciba su propio nombre. Hasta entonces, llamaremos conjuntamente a estos defectos Spectre-NG para distinguirlos de los problemas descubiertos anteriormente.
Esta vulnerabilidad ha sido catalogada como más peligrosa que Spectre. Uno de los agujeros de seguridad es catalogado de "alto riesgo" mientras que otros cuatro son de "riesgo medio". Estas vulnerabilidades simplifican los ataques del sistema pudiendo iniciar un código de explotación en una máquina virtual y atacar el sistema host desde ahí, como por ejemplo el servidor de un proveedor de servicio de nubes, además de atacar a las máquinas virtuales de otros servidores ejecutados en el mismo servidor. Las contraseñas y claves secretas también están en grave peligro.
Hasta ahora solo tenemos información concreta sobre los procesadores de Intel y sus planes para lanzar los parches. Sin embargo, hay una evidencia inicial de que al menos algunas CPUs ARM también son vulnerables. Ya se están llevando a cabo más investigaciones sobre si la arquitectura de los procesadores AMD también es susceptible a las diferencias individuales de Spectre-GN, y en qué medida.
Intel ya está trabajando en sus propios parches para Spectre-NG y está desarrollando otros en cooperación con los fabricantes de sistemas operativos. Según nuestra información, Intel está planeando dos oleadas de parches. El primero está programado para comenzar en mayo; un segundo está planeado para agosto.
Saber que Google Project Zero descubrió uno de los defectos de Spectre-NG nos da una idea de cuándo esperar el primer parche. Los piratas informáticos élite de Google son escrupulosos en cumplir el plazo de 90 días, que tiene por objeto dar a las empresas tiempo para corregir las vulnerabilidades después de que han sido notificadas, pero no tienen reparos en hacerlo público cuando finaliza el plazo, incluso si todavía no se ha publicado un parche. El tiempo se agotará el 7 de mayo, un día antes del próximo 'día de parche' de Windows.
Hay indicios de que Microsoft también se está preparando para los parches de CPU. Originalmente, la compañía esperaba que los problemas se resolvieran a través de actualizaciones de microcódigos (actualización por BIOS). Ahora parece que las correcciones (o mitigaciones) se distribuirán como actualizaciones de Windows (opcionales). Los fabricantes de PC simplemente están tardando demasiado en proporcionar las actualizaciones de BIOS. Los desarrolladores del kernel de Linux también están trabajando continuamente en medidas de refuerzo contra los ataques de Spectre.
vía: Heise.de
