Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades críticas en múltiples CPUs. Meltdown y Spectre

Vulnerabilidades críticas en múltiples CPUs. Meltdown y Spectre

Fecha de publicación: 
04/01/2018
Importancia: 
5 - Crítica
Recursos afectados: 

Se han visto afectados múltiples fabricantes de CPUs, Sistemas Operativos, Navegadores y Máquinas virtuales entre ellos:

Descripción: 

Varias implementaciones de CPU como Intel, AMD y ARM son vulnerables a ataques de tipo canal lateral (side-channel attack) que afectan a un modo de la ejecución de instrucciones del procesador (ejecución especulativa), posibilitando la lectura de zonas de memoria reservada de forma arbitraria. Los sistemas operativos y dispositivos que hacen uso de estos microprocesadores se ven afectados igualmente.

Solución: 

No existe una solución única para este fallo de diseño y cada fabricante que incorpore estos productos debe desarrollar una protección.

Existen implementaciones de protección como KPTI para Linux o soluciones proporcionadas por fabricantes como Google o Microsoft con parches y mitigaciones.

Nota: Las actualizaciones proporcionadas por Windows pueden ser incompatibles con algunos antivirus. De forma general, se recomienda actualizar primero el antivirus.

Cosultar el apartado "Referencias" y el soporte proporcionado por cada fabricante afectado.

Detalle: 

Investigadores de Google Project Zero y del Instituto de Procesamiento de Información Aplicada y Comunicaciones (IAIK) en la Universidad Tecnológica de Graz (TU Graz) han descubierto varias vulnerabilidades que afectan a CPUs modernas. Las vulnerabilidades involucran una característica de la arquitectura integrada en las CPUs para mejorar el rendimiento del sistema conocida como ejecución especulativa.
Un atacante puede tomar ventaja de este fallo de seguridad y ejecutar código malicioso de forma no privilegiada para leer zonas de memoria reservada del kernel eludiendo el llamado kernel address-space layout randomization (KASLR). Esta memoria podría contener información sensible como contraseñas o claves criptográficas. 
La vulnerabilidad puede explotarse también sobre sistemas virtuales para conseguir acceder a la memoria física del host u otras máquinas virtuales. Igualmente, puede afectar a servidores, equipos de trabajo, dispositivos móviles, entornos de IoT y navegadores.
Se han reservado CVEs para las tres variantes de ataque posibles para explotar la vulnerabilidad:

Spectre attack:

  • CVE-2017-5753
  • CVE-2017-5715

Meltdown attack:

  • CVE-2017-5754

Detalles sobre las vulnerabilidades (Meltdown y Spectre) pueden consultarse aquí: https://meltdownattack.com/

Encuesta valoración