Como no el año nuevo nos ha dejado un regalo, dos vulnerabilidades que afecta a casi todos los procesadores en mayor o menor medida. Debido a esto Internet esta echando fuego y hay un poco de confusión. Vamos a intentar esclarecer las dudas.

Las dos vulnerabilidades Meltdown y Spectre permiten a un programa malicioso acceder a todos los datos que hay en el kernel (núcleo principal del sistema operativo donde se encuentran normalmente datos importantes del sistema, entre ellos las contraseñas). Esto quiere decir que las contraseñas que estén guardadas en el kernel o el buffer del teclado (lo que estas escribiendo por teclado) puede ser robado, un problema grave para coworkers.

Vamos a explicar antes un poco cual es la funcionalidad del procesador que produce esta vulnerabilidad:

Los procesadores, para acelerar la velocidad de las aplicaciones, predice las tareas que se van a ejecutar para que una tarea no se quede esperando la respuesta de otra tarea. Esto se le llama ejecución especulativa. El problema es que este proceso accede al kernel y cambia de modo usuario a modo kernel, aunque esto debería ser totalmente seguro. El problema es que hay una vulnerabilidad que utiliza un fallo de hardware con el cual usando la cache del microprocesador puedes saltarte las comprobaciones de seguridad y accede directamente a toda la memoria que hay en el kernel, es decir, una vulnerabilidad que se salta la seguridad y accede al kernel.

La diferencia de meltdown y spectre es que, entre otras cosas, meltdown accede al kernel y spectre es un conjunto de vulnerabilidades usando la ejecución especulativa. Un ejemplo de spectre seria acceder a datos de otros programas o incluso a los datos de las diferentes pestañas de un navegador web. No os asustéis los principales navegadores ya han actualizado esto, acordaos de actualizar vuestro navegador en el coworking.

Meltdown será parcheado rápidamente pero el problema es la pérdida de rendimiento desde un 5% a un 30%, dependiendo de los programas que se vayan a usar. Por otro lado, Spectre no será fácil de parchear ya que es un conjunto de vulnerabilidades no una sola e irán poco a poco solucionando las vulnerabilidades que vayan saliendo. Por otro lado, las vulnerabilidades de Spectre no son tan fáciles de explotar así que no estamos demasiado en peligro, sobre todo tener cuidado con los emails con urls maliciosas y aplicaciones desconocidas, tanto en el ordenador como en móvil.

El colmo de todo esto es que esta vulnerabilidad fue descubierta por el Proyecto Cero (un equipo de analistas de seguridad informática de google) y se lo comunicaron a Intel en junio del 2017. Intel ignoro totalmente esto y siguió vendiendo sus productos, y además el CEO de Intel vendió gran parte de sus acciones, ¿todo muy raro verdad? Prepararon un comunicado para el 9 de enero pero una filtración nos dejo la sorpresita antes de reyes.

Por otro lado, la información es confusa en la red y algunos dicen que AMD es seguro, otros que no, la realidad es que AMD no es vulnerable a Meltdown, pero si es vulnerable a Spectre, lo cual lo hace inseguro, no tiene el fallo de seguridad de Intel con Meltdown, pero Spectre es un conjunto de vulnerabilidades y la mayoría de los procesadores de todo tipo de dispositivos son vulnerables en mayor o menor medida.

Os dejo una lista de los procesadores de Intel vulnerables:

  • Intel® Core™ i3 processor (45nm and 32nm).

  • Intel® Core™ i5 processor (45nm and 32nm).

  • Intel® Core™ i7 processor (45nm and 32nm).

  • Intel® Core™ M processor family (45nm and 32nm).

  • 2nd generation Intel® Core™ processors.

  • 3rd generation Intel® Core™ processors.

  • 4th generation Intel® Core™ processors.

  • 5th generation Intel® Core™ processors.

  • 6th generation Intel® Core™ processors.

  • 7th generation Intel® Core™ processors.

  • 8th generation Intel® Core™ processors.

  • Intel® Core™ X-series Processor Family for Intel® X99 platforms.

  • Intel® Core™ X-series Processor Family for Intel® X299 platforms.

  • Intel® Xeon® processor 3400 series.

  • Intel® Xeon® processor 3600 series.

  • Intel® Xeon® processor 5500 series.

  • Intel® Xeon® processor 5600 series.

  • Intel® Xeon® processor 6500 series.

  • Intel® Xeon® processor 7500 series.

  • Intel® Xeon® Processor E3 Family.

  • Intel® Xeon® Processor E3 v2 Family.

  • Intel® Xeon® Processor E3 v3 Family.

  • Intel® Xeon® Processor E3 v4 Family.

  • Intel® Xeon® Processor E3 v5 Family.

  • Intel® Xeon® Processor E3 v6 Family.

  • Intel® Xeon® Processor E5 Family.

  • Intel® Xeon® Processor E5 v2 Family.

  • Intel® Xeon® Processor E5 v3 Family.

  • Intel® Xeon® Processor E5 v4 Family.

  • Intel® Xeon® Processor E7 Family.

  • Intel® Xeon® Processor E7 v2 Family.

  • Intel® Xeon® Processor E7 v3 Family.

  • Intel® Xeon® Processor E7 v4 Family.

  • Intel® Xeon® Processor Scalable Family.

  • Intel® Xeon Phi™ Processor 3200, 5200, 7200 Series.

  • Intel® Atom™ Processor C Series.

  • Intel® Atom™ Processor E Series.

  • Intel® Atom™ Processor A Series.

  • Intel® Atom™ Processor x3 Series.

  • Intel® Atom™ Processor Z Series.

  • Intel® Celeron® Processor J Series.

  • Intel® Celeron® Processor N Series.

  • Intel® Pentium® Processor J Series.

  • Intel® Pentium® Processor N Series.

En definitiva casi todos desde hace unos 20 años son vulnerables a Meltdown y Spectre.

Los procesadores de ARM, que son los procesadores de móviles y tablets, también tienen procesadores con estas vulnerabilidades. Pondré una tabla para que veáis cuales son los vulnerables y a que:

Modelo

Variante 1 (Spectre)

Variante 2 (Spectre)

Variante 3 (Meltdown)

Variante 4 (Meltdown)

Cortex R-7

No

No

Cortex R-8

No

No

Cortex A-8

Sí (bajo revisión)

No

No

Cortex A-9

No

No

Cortex A-15

Sí (bajo revisión)

No

Cortex A-17

No

No

Cortex A-57

No

Cortex A-72

No

Cortex A-73

No

Cortex A-75

No

Procesadores ARM afectados (Fuente: ARM)

Los dispositivos Android, los pertenecientes a Google, y los dispositivos iOS serán actualizados rápidamente, pero para dispositivos Android de otras compañías habrá que esperar que hagan la actualización (en el mejor de los casos).

Esperamos haberte ayudado a esclarecer un poco las dudas que nos ha creado este tema. Si necesitas cualquier información o aclaración, pon un comentario y te la resolveremos.

Un saludo y feliz año a todos!