Las revelaciones sobre las vulnerabilidades de Meltdown y Spectre, que afectan a millones de procesadores en todo el mundo, han planteado una gran cantidad de preguntas. Por un lado están las empresas y las grandes organizaciones, que se apresuran a garantizar que sus sistemas y sus datos estén protegidos. Por el otro está el usuario promedio, que se pregunta qué sucede.
Existen muchos informes muy técnicos sobre las implicaciones de las vulnerabilidades Spectre y Meltdown. Asimismo, hay explicaciones de cómo funciona el exploit. Sin embargo, el nivel de tecnicismo ha dejado al usuario regular un poco a oscuras. Para tratar de remediar esto, Google ha respondido una serie de preguntas relacionadas con estos problemas de seguridad.
Google explica Meltdown y Spectre al usuario promedio
En una entrada de blog publicada por ingenieros de seguridad Matt Linton y Matthew O’Connor, Google analiza Meltdown y Spectre teniendo en cuenta a sus clientes. La publicación se produce debido, como dice Google, a la «confusión» que rodea a las vulnerabilidades. Esta no es la primera vez que Google se ha pronunciado sobre Specter y Meltdown, ni mucho menos.
Esta última publicación comienza con una explicación útil de las tres variantes del error. En ella se establece que Project Zero describió tres variantes de esta nueva clase de ataque de ejecución especulativa.
- La variante 1 y la variante 2 se conocen como «Spectre».
- La variante 3 ha sido referida como «Meltdown».
Google explica que la mayoría de los vendedores se están refiriendo a ellos por las etiquetas de vulnerabilidades y exposiciones comunes, también conocidas como etiquetas «CVE». Que son una forma estándar de la industria para identificar vulnerabilidades.
Asimismo, Google explica que de momento “no hay una solución única para las tres variantes de ataque”. Cada una requiere protección individual y procesos específicos para mitigar sus efectos negativos.
Descripción general de cada variante de la vulnerabilidad
Variante 1 (CVE-2017-5753), «bypass de comprobación de límites»: Esta vulnerabilidad afecta secuencias específicas dentro de las apps compiladas, que deben abordarse por binario. Actualmente, esta variante incluye riesgo de ataques de navegador, explotación de JavaScript y vulnerabilidades en binarios individuales.
Variante 2 (CVE-2017-5715), «inyección de sucursal objetivo»: Esta variante puede ser reparada por una actualización de microcódigo del CPU desde el proveedor. También aplicando una protección de software llamada «Retpoline» a los binarios donde la preocupación por pérdida de información está presente. Actualmente, esta variante riesgos de ataques en torno a la virtualización de la nube y al «Bypass de hipervisor». Esto afecta a sistemas completos.
Variante 3 (CVE-2017-5754), «carga de caché de datos deshonestos»: Esta variante es la base de la discusión sobre «KPTI» o «Aislamiento de la tabla de páginas del núcleo». Cuando un atacante tiene capacidad de ejecutar código en un sistema, puede acceder a la memoria sin permiso de acceso.
Medidas tomadas por Google al respecto de Meltdown y Spectre
Como ya sabíamos, Google era consciente desde el año pasado de las vulnerabilidades debido a Project Zero. Es por ello que la compañía tomó medidas para proteger sus propios productos y servicios.
Google responde a las preocupaciones de algunos clientes de que no se les ha pedido que reinicien su instancia de Google Cloud Platform. Señala que la arquitectura de la plataforma es tal que la migración en vivo permite el parche sin reinicio.
El post continúa explicando que los productos de Google están completamente protegidos contra la segunda variante de Spectre. Sin embargo, dice que es bastante más difícil de protegerlos contra la primera variante.
“Trabajamos continuamente para estar a la vanguardia del panorama de amenazas en constante evolución. Y continuaremos implementando protecciones adicionales para abordar los riesgos potenciales”. Así termina la publicación de Google.