A principios de semana, el sitio web TheRegister reveló un “error de diseño” en CPUs Intel que permitía a código malicioso acceder a partes del kernel, afectando a millones de usuarios en el mundo que utilizan computadoras con sistemas operativos Windows, Linux y Mac.
Según el medio, la mencionada falla está presente en los procesadores Intel x86-64 de los últimos 10 años, haciéndolos vulnerables a software malicioso que podría acceder a áreas específicas de la memoria del Kernel para obtener datos sensibles (como las contraseñas o el software en uso).
Si bien los responsables de los SO más usados a nivel internacional, ya están trabajando a toda velocidad para lanzar parches de seguridad, una solución “definitiva” a este problema podría representar un grave problema para la experiencia de uso de los computadores afectados. Según la fuente, el problema de la resolución de este problema vía software, es que los usuarios experimentarán una baja de rendimiento de sus equipos de entre 5 y 30%. No obstante, Intel desmintió esta información, aunque admitió que esta pérdida en el performance debería verse caso a caso, dependiendo del sistema operativo, de la tarea a realizar y del procesador instalado.
Como si el panorama ya no fuese lo suficientemente oscuro, un grupo de investigadores en ciberseguridad advirtió ayer que si bien los CPUs de Intel presentaban la mencionada vulnerabilidad (denominada “Meltdown” por los expertos), sino que también los procesadores de AMD y ARM (usados en los smartphones) estaban expuestos a una vulnerabilidad similar, llamada “Spectre”.
Aunque es más difícil de implementar (pero también de mitigar), Spectre es un tipo de ataque que también afecta a Intel, y algunos chips de AMD y ARM (usan en los celulares). Este también rompe esa aislación que tienen las aplicaciones, y podría lograr que un software malicioso reciba toda la información que contiene una aplicación.
La posibilidad del ataque se conoce hace un año, y desde entonces las compañías vienen trabajando en el tema; la intención era hacer un anuncio coordinado el martes 9 de enero, pero la publicación de la información en TheRegister obligó a acelerar el proceso.
Mayor información en https://spectreattack.com
