Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/01/2018
Publicadas vulnerabilidades en procesadores modernos
Con los bugs encontrados se puede conseguir que un usuario sin privilegios lea información, en el mejor de los casos arbitraria, de zonas de memoria privilegiadas.Estas vulnerabilidades, conocidas como Meltdown y Spectre, afectan a procesadores de Intel, AMD y ARM y fueron descubiertas durante el año pasado de forma independiente por varios equipos de trabajo, entre los que se encuentran investigadores de Google Project Zero, Cyberus Technology, Rambus y las Universidades de Graz, Maryland, Pensilvania y Adelaida.
Estas vulnerabilidades afectan a los procesadores modernos de Intel, AMD y ARM, y se fundamentan en problemas encontrados en las funcionalidades de ejecución especulativa de instrucciones que implementan dichos procesadores. Para aprovechar las vulnerabilidades se aplican diferentes técnicas que permiten a un usuario sin privilegios leer espacio de memoria que en principio debería ser sólo accesible por usuarios con privilegios, incluso en algunos casos pudiendo controlar que regiones de memoria se acceden.
El alcance que estas vulnerabilidades pueden tener ha generado mucho revuelo mediático, con la aparición de algunas pruebas de concepto (ejemplo 1 y ejemplo 2), lo que ha avanzado la publicación coordinada de la vulnerabilidad, que estaba prevista para el próximo 9 de enero.
Se puede encontrar más información en el Blog de Seguridad de Google, el Blog de Google Project Zero, y la web informativa oficial de las vulnerabilidades.
Sistemas Afectados:Procesadores modernos de Intel, AMD y ARM.
Referencias:CVE-2017-5753, CVE-2017-5715, CVE-2017-5754
Solución:Los principales fabricantes de software han lanzado o están preparando parches contra esta vulnerabilidad, que tienen como parte negativa un impacto en el rendimiento del equipo.
No se conoce de momento si existe solución a nivel hardware en los propios procesadores.
Notas:Meltdown and Spectre Vulnerabilities