Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/01/2018
Publicades vulnerabilitats en processadors moderns
Amb els bugs trobats es pot aconseguir que un usuari sense privilegis llija informació, en el millor dels casos arbitrària, de zones de memòria privilegiades.Aquestes vulnerabilitats, conegudes com Meltdown i Spectre, afecten processadors d’Intel, AMD i ARM i van ser descobertes durant l’any passat de manera independent per diversos equips de treball, entre els quals es troben investigadors de Google Project Zero, Cyberus Technology, Rambus i les universitats de Graz, Maryland, Pennsilvània i Adelaida.
Aquestes vulnerabilitats afecten els processadors moderns d’Intel, AMD i ARM, i es fonamenten en problemes trobats en les funcionalitats d’execució especulativa d’instruccions que implementen els processadors esmentats. Per a aprofitar les vulnerabilitats s’apliquen diferents tècniques que permeten a un usuari sense privilegis llegir espai de memòria que en principi hauria de ser només accessible per a usuaris amb privilegis, inclús en alguns casos podent controlar a quines regions de memòria s’accedeix.
L’abast que aquestes vulnerabilitats poden tindre ha generat molta revolada mediàtica, amb l’aparició d’algunes proves de concepte (exemple 1 i exemple 2), cosa que ha avançat la publicació coordinada de la vulnerabilitat, que estava prevista per al pròxim 9 de gener.
Es pot trobar més informació en el blog de seguretat de Google, el blog de Google Project Zero i la web informativa oficial de les vulnerabilitats.
Sistemes Afectats:Processadors moderns d’Intel, AMD i ARM.
Referències:CVE-2017-5753, CVE-2017-5715, CVE-2017-5754
Solució:Els principals fabricants de programari han llançat o estan preparant pedaços contra aquesta vulnerabilitat, que tenen com a part negativa un impacte en el rendiment de l’equip.
No es coneix de moment si hi ha solució en el maquinari dels processadors mateixos.
Notes:Meltdown and Spectre Vulnerabilities