Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/03/2015
Esta vegada la fallada no està en el programari, sinó en la fabricació de memòries DRAM modernes. El problema es produïx en accedir repetidament a una adreça de memòria i que també provocaria canvis en les files adjacents, quan l’accés a una adreça de memòria no hauria de tindre efectes col·laterals en les dades d’altres adreces.
La causa seria la fabricació de memòries més xicotetes i la major capacitat que fa que les cèl·lules estiguen cada vegada més juntes, complicant l’aïllament i augmentant la sensibilitat elèctrica.
Un equip de la Universitat de Carnegie Mellon i Intel ha realitzat esta investigació en equips Intel i AMD i amb memòries de tres fabricants.
El cas ha anat més enllà pel fet que l’equip de Project Zero ha aconseguit realitzar dos exploits per a elevar els privilegis en un sistema. Un consistix en el programa Native Client (NaCl) i Google ha solucionat esta fallada, segons explica el CVE-2015-0565. El segon s’executaria com un procés en Linux i aconseguiria accés de lectura i escriptura en memòria. Les proves de Google es van realitzar amb DDR3.
La solució es presenta complicada.
Pots disfrutar de la notícia completa en este enllaç.
Més informació:
https://developer.chrome.com/native-client