Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/01/2018
Aquestes vulnerabilitats, conegudes com Meltdown i Spectre, afecten processadors d’Intel, AMD i ARM i van ser descobertes durant l’any passat de manera independent per diversos equips de treball, entre els quals es troben investigadors de Google Project Zero, Cyberus Technology, Rambus i les universitats de Graz, Maryland, Pennsilvània i Adelaida.
Aquestes vulnerabilitats afecten els processadors moderns d’Intel, AMD i ARM, i es fonamenten en problemes trobats en les funcionalitats d’execució especulativa d’instruccions que implementen els processadors esmentats. Per a aprofitar les vulnerabilitats s’apliquen diferents tècniques que permeten a un usuari sense privilegis llegir espai de memòria que en principi hauria de ser només accessible per a usuaris amb privilegis, inclús en alguns casos podent controlar a quines regions de memòria s’accedeix.
L’abast que aquestes vulnerabilitats poden tindre ha generat molta revolada mediàtica, amb l’aparició d’algunes proves de concepte (exemple 1 i exemple 2), cosa que ha avançat la publicació coordinada de la vulnerabilitat, que estava prevista per al pròxim 9 de gener.
Es pot trobar més informació en el blog de seguretat de Google, el blog de Google Project Zero i la web informativa oficial de les vulnerabilitats.
Sistemes Afectats:Processadors moderns d’Intel, AMD i ARM.
Referències:CVE-2017-5753, CVE-2017-5715, CVE-2017-5754
Solució:Els principals fabricants de programari han llançat o estan preparant pedaços contra aquesta vulnerabilitat, que tenen com a part negativa un impacte en el rendiment de l’equip.
No es coneix de moment si hi ha solució en el maquinari dels processadors mateixos.
Notes:Meltdown and Spectre Vulnerabilities