Microsoft y Google están divulgando conjuntamente una nueva vulnerabilidad de seguridad de CPU que es similar a los fallos de Meltdown y Spectre que se revelaron a principios de este año. Etiquetado Speculative Store Bypass variante 4, la última vulnerabilidad es una explotación similar a Spectre y explota la ejecución especulativa que utilizan las CPU modernas. Navegadores como Safari, Edge y Chrome fueron reparados para Meltdown a principios de este año, e Intel dice que "estas mitigaciones también son aplicables a la variante 4 y están disponibles para que los consumidores las utilicen hoy".

Las CPU modernas

Sin embargo, a diferencia de Meltdown y más similar a Spectre, esta nueva vulnerabilidad también incluirá actualizaciones de firmware para las CPU que podrían afectar el rendimiento. Intel ya ha entregado actualizaciones de microcódigos para el bypass de la tienda especulativa en forma de beta a los OEM, y la compañía espera que estén más ampliamente disponibles en las próximas semanas. Las actualizaciones de firmware establecerán la protección de omisión especulativa de la tienda en forma predeterminada, lo que garantiza que la mayoría de las personas no verán impactos negativos en el rendimiento.

"Si está habilitado, hemos observado un impacto en el rendimiento de aproximadamente el 2-8 por ciento basado en los puntajes generales de los índices SYSmark 2014 SE y SPEC en los sistemas de prueba del cliente 1 y del servidor 2", explica Leslie Culbertson , jefe de seguridad de Intel.

Como resultado, los usuarios finales (y particularmente los administradores del sistema) tendrán que elegir entre la seguridad o el rendimiento óptimo. La elección, al igual que las variantes anteriores de Spectre, se reducirá a sistemas y servidores individuales, y al hecho de que esta nueva variante parece ser menos riesgosa que los fallos de la CPU que se descubrieron a principios de este año.

Microsoft

Comenzó a ofrecer hasta $ 250,000 por errores que son similares a los fallos de CPU de Meltdown y Spectre en marzo, y la compañía dice que descubrió este nuevo error en noviembre. "Microsoft descubrió previamente esta variante y la dio a conocer a los socios de la industria en noviembre de 2017 como parte de la divulgación coordinada de vulnerabilidades CVD", afirma un portavoz de Microsoft .

Microsoft ahora está trabajando con Intel y AMD para determinar el impacto en el rendimiento de los sistemas.

"Seguimos trabajando con los fabricantes de chips afectados y ya hemos lanzado mitigaciones de defensa en profundidad para abordar las vulnerabilidades de ejecución especulativa en todos nuestros productos y servicios", dice un portavoz de Microsoft. "No conocemos ninguna instancia de esta clase de vulnerabilidad que afecte a Windows o a nuestra infraestructura de servicios en la nube. Nos comprometemos a proporcionar mitigaciones adicionales a nuestros clientes tan pronto como estén disponibles, y nuestra política estándar para asuntos de bajo riesgo es proporcionar soluciones a través de nuestro calendario de actualización martes ".

Intel ya está preparando sus propios cambios de CPU para el futuro . Intel está rediseñando sus procesadores para protegerse contra ataques como Spectre o esta nueva variante 4, y los procesadores Xeon de nueva generación de la compañía Cascade Lake incluirán nuevas protecciones integradas de hardware, junto con procesadores Intel Core de 8ª generación que se despachan en la segunda mitad de 2018.

¡No te pierdas nuestra pagina de Facebook!!