21 feb. 2018

Intel publica actualizaciones para Meltdown y Spectre

Con Meltdown aparentemente bajo control, desde hace un tiempo los esfuerzos en el sector de la ciberseguridad se centran en aportar todas las mitigaciones posibles contra Spectre, que a día de hoy sigue sin poderse resolver de forma definitiva y no parece que vaya a haber una solución total, ya que el origen del vector de ataque está en un fallo de diseño de las CPU que no puede ser arreglado mediante firmware o software.
Que el foco mediático esté menos encima de Spectre no quiere decir que haya perdido peligrosidad. Debido a que los procesadores afectados, además de distintas arquitecturas, están muy difundidos, hará que decenas de millones de empresas y usuarios tengan que convivir con el riesgo de acabar atacados mediante la explotación de algunas de las dos vulnerabilidades que abarca Spectre.

Intel ha desarrollado y validado nuevos parches contra Spectre que pueden ser aplicados en sus procesadores de Intel Core de sexta, séptima y octava generación, además de Pentium, Celeron, Core X y los Xeon modelos D y Scalable (Skylake, Kaby Lake y Coffee Lake). Debido a problemas con los parches publicados el mes pasado, en esta ocasión la compañía ha comentado que ha realizado extensas pruebas junto con clientes y socios de la industria para garantizar su correcto funcionamiento en entornos de producción. Aunque Intel es una compañía con capacidad para superar este bache, da la sensación de que no puede permitirse muchos tropiezos más, sobre todo si tenemos que en cuenta que la competencia se ha librado casi en su totalidad de Meltdown, algo que está siendo aprovechando, al menos aparentemente, a nivel comercial.

Intel ya ha comenzado la distribución de su microcódigo actualizado para los OEM, por lo que su lanzamiento público tendría que estar cerca para fabricantes y proveedores de sistemas operativos. Sobre los parches y como ya hemos comentado, no resuelven Spectre de forma definitiva porque al menos de momento eso es imposible, así que los que quieran tener procesadores corregidos tendrán que esperar al lanzamiento Ice Lake, ya que todo apunta a que el problema seguirá sin estar resuelto en Cannon Lake.

Hay varias medidas de mitigación disponibles que pueden proporcionar protección contra estas explotaciones. Esto incluye "Retpoline", la tecnología de mitigación desarrollada por Google para la variante 2 de Spectre . Para aquellos interesados en más información sobre Retpoline y cómo funciona, Intel recientemente ha publicado un documento [PDF].
 
Intel inició hace un año un programa de recompensas en HackerOne por hallar vulnerabilidades en sus productos. Quizá debido al mal trago pasado desde inicios de año, Intel ha decidido actualizar su programa de recompensas en HackerOne para aumentar las cuantías, ofreciendo ahora hasta 250.000 dólares a quienes hallen vulnerabilidades en algunos de sus productos. Además, también lo ha abierto a cualquier persona que utilice la plataforma de HackerOne.


Fuente: Muy Seguridad

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!