Pasar al contenido principal

ES / EN

Meltdown y Spectre: las dos nuevas vulnerabilidades que debes conocer
Viernes, Enero 5, 2018 - 18:05

Los desarrolladores de software están trabajando en actualizaciones para combatir estos códigos maliciosos, que podrían afectar a 90% de los computadores a nivel global.

Cromo - El Observador. Millones de computadoras en todo el mundo están siendo afectadas por dos graves vulnerabilidades llamadas Meltdown y Spectre presentes en sus procesadores. La alarma surgió este martes con la detección de un fallo en procesadores de Intel y, desde entonces, se ha expandido a los fabricados por otras marcas.

Los desarrolladores de varios sistemas operativos y software están preparando y lanzando actualizaciones para combatir esta amenaza, sacrificando la rapidez del rendimiento de los equipos afectados.

La Universidad de Tecnología de Graz (Austria) creó un portal web donde se comparte todo lo que se conoce hasta la fecha sobre Meltdown y Spectre. Según el sitio, estos bugs están presentes en los chips modernos y permiten el robo de datos que estén siendo procesados en ese momento, entre los que podrían encontrarse contraseñas, correos electrónicos y ficheros personales y confidenciales.

Estas vulnerabilidades pueden actuar tanto en computadoras como en dispositivos móviles, sin que queden registros de actividad maliciosa en los mismos. Además, Meltdown y Spectre también podrían servir para robar información guardada en la nube.

Diferencias

Ambas vulnerabilidades actúan tras la ruptura de una barrera que impide que un determinado programa tenga acceso a otros componentes del software del terminal.

Meltdown permite que una aplicación pueda acceder al sistema operativo y, por tanto, a la memoria que almacena distintos programas. Está presente en ordenadores de escritorio, portátiles y de servicios de la nube. Se ha confirmado que la vulnerabilidad afecta a todos los procesadores Intel desde 1995, a excepción de los microprocesadores Itanium y Atom de la marca previos a 2013. Queda aún por corroborar si el bug amenaza también a los componentes de AMD o ARM.

Por su parte, Spectre facilita a una determinada aplicación a acceder a otros programas, con el riesgo de que pudiera servir para engañar al software para que comparta información secreta.

Esta falla tiene un rango de presencia más amplio que Meltdown, ya que no solo afecta a computadoras de escritorio, laptops y servidores "cloud", sino también a smartphones.

Spectre está presente en todos aquellos procesadores capaces de ejecutar varias tareas a la vez y ha sido detectada en componentes de Intel, AMD y ARM.

¿Qué se puede hacer?

Muchos fabricantes y desarrolladores ya están ofreciendo soluciones a Meltdown y Spectre y aquí podrá encontrar información importante que le permitirá saber si está afectado y cómo actualizar sus dispositivos para mantenerse a salvo de posibles problemas de seguridad.

Microsoft Windows

Microsoft lanzó una actualización de seguridad para mitigar la vulnerabilidad, pero parece que esta no está exenta de problemas.

En una nota adicional, la empresa explicó que la actualización podía entrar en conflicto con algunos antivirus, lo que podía dar lugar a errores graves.

Antes de aplicar una actualización, lo aconsejable es crear un punto de restauración desde la Configuración de Windows.

Microsoft ha recomendado instalar un antivirus compatible o bien hacer uso de Microsoft Security Essentials para evitar problemas. Además ha revelado que para los usuarios de Windows 7, Windows Server 2008 R2 y Windows Server 2012 los desarrolladores de antivirus deberán usar una clave de registro específica para solucionar el problema.

Android

Google confirmó que publicará una actualización de seguridad el 5 de enero que incluirá mecanismos para mitigar el problema. Además, anunció que lanzará más actualizaciones con mejoras en este aspecto. Esas probablemente llegarán primero a los nuevos modelos Pixel 2 o los Pixel de primera generación.

Para el resto de dispositivos móviles basados en Android las actualizaciones dependerán de cada fabricante.

Google Chrome

El navegador de Google también incorporó mecanismos para protegerse ante esta amenaza y la versión actualizada (Google Chrome 64) se publicará el 23 de enero.

Uno de esos mecanismos es el llamado Site Isolation, que permite aislar sitios web en distintos espacios de direcciones de memoria para evitar problemas de seguridad.

Mozilla Firefox

Los responsables de Mozilla han actualizado todos sus navegadores desde la versión 57.

Se deshabilitó la característica "SharedArrayBuffer" que suponía un riesgo y están trabajando en aplicar otras medidas para evitar posibles ataques.

Microsoft Edge e Internet Explorer 11

El navegador de Microsoft también podría estar afectado por esta falla y la empresa no tardó en publicar una actualización para mitigar el problema, tanto en Microsoft Edge como en Internet Explorer 11.

En un documento publicado al respecto, la compañía explicó qué técnicas utilizó para protegerse de estas amenazas.

Apple macOS e iOS

Si bien ya se sospechaba, Apple lo confirmó. Los dispositivos MacOS e iOS se encuentran dentro del conjunto de dispositivos electrónicos afectados por los errores de segurida Spectre y Meltdown.

En el comunicado oficial que emitió Apple se reconoce las vulnerabilidades y recomienda actualizar a iOS 11.2, MacOS 10.13.2 y tvOS 11.2, para reducir la posibilidad de que se produzcan fallos de seguridad.

A pesar de que se comunicó de que no se conoce la existencia de ningún exploit que se aproveche de la vulnerabilidad, eso no asegura que no exista alguno que no se conozca.

Además se dijo que en unos días se lanzará una versión de su navegador de internet Safari para minimizar los efectos del desastre en sus equipos.

Los Apple Watch no han sido afectados por ninguna de estas vulnerabilidades y que por tanto no necesitan ningún parche.

Autores

Cromo - El Observador