Una nueva ola de ataques de clase Spectre puede estar llegando para las CPU de Intel

SpectreMeltdownFeature

Desde que se dieron a conocer Spectre y Meltdown, existe el riesgo de que también surjan ataques futuros. Una de las cosas que distingue a los ataques de Spectre de Meltdown es que Meltdown apuntó a una vulnerabilidad específica. Las variantes de Spectre (Variante 1 y Variante 2) descritas ya son dos ejemplos de cómo se puede utilizar Spectre para explotar los efectos secundarios de ejecución especulativa. No son las únicas formas en que se puede implementar el truco. Y ahora hay rumores de que se avecina un conjunto completamente nuevo de divulgaciones.

A principios de esta semana, Heise.de afirmó haber visto evidencia de que ocho Los ataques de clase Spectre se darán a conocer en breve, con detalles ya revelados a los fabricantes. Heise se refiere a estos como Espectro-NG (para la próxima generación), y afirma que ha visto detalles sobre los ocho, así como una verificación doble y triple de los resultados y los informes. Así es como resumen sus hallazgos:

Hasta ahora, solo tenemos información concreta sobre los procesadores de Intel y sus planes de parches. Sin embargo, existe evidencia inicial de que al menos algunas CPU ARM también son vulnerables. Ya se están realizando más investigaciones sobre si la arquitectura del procesador AMD estrechamente relacionada también es susceptible a las brechas individuales de Spectre-NG, y en qué medida.



Se dice que Intel está preparando sus propios parches con dos rondas de actualizaciones programadas para mayo y agosto, con soporte de parche adicional de Microsoft, similar a las actualizaciones que ya se han implementado para Spectre y Meltdown. Y hay alguna señal de Intel de que una divulgación puede ser inminente. Una nueva actualización de Intel, que se puso en marcha hoy, se llama 'Responder preguntas sobre problemas de seguridad adicionales. ' Afirma:

Proteger los datos de nuestros clientes y garantizar la seguridad de nuestros productos son prioridades fundamentales para nosotros. Trabajamos de forma rutinaria en estrecha colaboración con clientes, socios, otros fabricantes de chips e investigadores para comprender y mitigar cualquier problema que se identifique, y parte de este proceso implica reservar bloques de números CVE. Creemos firmemente en el valor de la divulgación coordinada y compartiremos detalles adicionales sobre cualquier problema potencial a medida que finalizamos las mitigaciones. Como práctica recomendada, seguimos animando a todos a mantener actualizados sus sistemas.

Esto suena similar al lenguaje de lo que escuchamos cuando las revelaciones sobre Spectre y Meltdown estaban pendientes. Pero antes de que la gente saque conclusiones precipitadas, yo diría que lo que necesitamos es calma. A principios de este año, una empresa llamada CTS-Labs decidió tomar algunos problemas de seguridad genuinos que encontraron dentro de los productos AMD y encadenarlos a prácticas de divulgación e informes que intentaron activamente secuestrar el precio de las acciones de AMD para ganar dinero para una empresa de inversión en particular. En el proceso, CTS-Labs demostró exactamente lo importante que es que las divulgaciones de seguridad permanecer se centró en proporcionar una comprensión precisa de los hechos de los riesgos de seguridad ante todo, con una discusión de las ramificaciones financieras subyacentes o incluso conclusiones sobre los productos subyacentes manejados por separado.

Tabla de comparación de Meltdown-Spectre

Tan pronto como se supo la noticia de lo que era Spectre, quedó claro que estaríamos limpiando este lío durante mucho tiempo. Hasta ahora, entre Apple, ARM, Intel y AMD, Intel ha sido el más expuesto directamente por Spectre y Meltdown, en parte debido a la naturaleza de sus diseños de CPU, en parte debido a su posición en el mercado. No sabemos cómo, o si, la próxima ronda de divulgaciones cambiará estas clasificaciones. No sabemos qué tan graves serán las fallas colectivamente.

Normalmente, no pongo tanto énfasis en señalar lo que no sabemos, pero la debacle de CTS enfatizó, al menos para mí, la necesidad de tratar estas situaciones con cuidado. Intel, obviamente, está pisando a la ligera este tema, y ​​es justo estar preocupado por la situación, pero nos quedaremos con la 'preocupación' por ahora, hasta que salgan a la luz más detalles.

Copyright © Todos Los Derechos Reservados | 2007es.com