Google ha informado que los fallos de seguridad revelados este miércoles en los procesadores Intel también afectan a los fabricados por ARM y en menor medida a los de AMD. Estas vulnerabilidades causadas por la ejecución especulativa, una técnica de optimización utilizada en todos los procesadores modernos, han sido descubiertas por el investigador Jann Horn del equipo Project Zero de Google. 

Horn ha encontrado dos vulnerabilidades críticas llamadas Meltdown y Spectre que afectan a casi todos los procesadores fabricados en los últimos 20 años. Los investigadores han podido probar que mediante estos fallos de seguridad un usuario no autorizado puede leer información sensible en la memoria del sistema, incluyendo contraseñas, claves de cifrado y datos de la memoria caché. Project Zero afirma que descubrieron los fallos de seguridad hoy expuestos el año pasado.

La amenaza de las vulnerabilidades difiere en función del procesador y fabricante. AMD afirma, y la investigación así lo apoya, que prácticamente no existe riesgo para sus productos debido a que por diferencias en la arquitectura solo son susceptibles a una de las variantes descubiertas. Según Project Zero en el caso de AMD se solucionaría el problema de seguridad con una actualización del sistema operativo, que implicaría un impacto en el rendimiento del equipo.

Pocas horas antes de que Google facilitase esta información Intel ya avanzaba que sus procesadores no eran los únicos afectados por las vulnerabilidades. En su comunicado Intel también afirma que la compañía tenía planeado informar sobre los fallos de seguridad junto a AMD, ARM y los desarrolladores de sistemas operativos la próxima semana, momento en el que estaba previsto distribuir actualizaciones de software y firmware. Pero los hechos se han precipitado.

Además, Intel también ha querido salir al paso ante los “informes inexactos de los medios” en los que se afirma que la solución a los problemas de seguridad vía software o firmware causa una ralentización del ordenador afectado. La compañía asegura que “cualquier impacto en el rendimiento dependerá de la carga de trabajo, y para el usuario medio no debería ser significativo”. Sin embargo, Intel no aborda cómo afectará a los servidores donde se estima que el efecto en la reducción del rendimiento será mayor.

Microsoft publica una actualización de seguridad de emergencia 

Microsoft ha confirmado a The Verge que ya ha puesto en marcha una actualización de emergencia con el objetivo de proteger a los usuarios de Windows ante el fallo de seguridad de los procesadores de Intel, AMD y ARM. La actualización se realizará de forma automática en los dispositivos Windows 10. También estará disponible para su aplicación en equipos con Windows 7 o Windows 8, pero estos no se actualizarán automáticamente vía Windows Update hasta el próximo martes.

Debido a la naturaleza de las vulnerabilidades la actualización de Windows podría no ser suficiente. En algunos casos también será necesario que los desarrolladores de procesadores actualicen el firmware de sus productos. Los proveedores de antivirus también deberán poner al día su software para que funcione correctamente una vez aplicados los parches, ya que los cambios están relacionados con el acceso a contenidos protegidos en la memoria del kernel.

No solo Microsoft trabaja en proteger a los usuarios de su sistema operativo. La investigación de Google ha probado que los fallos de seguridad en los procesadores también afectan a los dispositivos con macOS, Linux, ChromeOS y Android. Se espera que los responsables de estos sistemas operativos lancen actualizaciones próximamente.

Fuente

Ésto en consolas no pasa 

(04-01-2018 10:58)Santi RC escribió:Ésto en consolas no pasa 

Y sin embargo, posiblemente se vean afectadas.

Pero técnicamente si podría pasar en consolas ¿No? Es decir, la arquitectura es cuasi-pc, o directamente, pc ¿No entrarían estas vulnerabilidades de alguna forma? De todas formas, yo estoy flipando horrores con todo este tema........

(04-01-2018 10:58)Santi RC escribió:Ésto en consolas no pasa 

Si es algo que afecta a los procesadores de los últimos 20 años, me da que las consolas no se salvan xD

Otra cosa es que no puedan aprovecharlo los hackers al ser sistemas cerrados, pero el problema existirá también

Siempre nos quedarán las canicas

Meltdown y Spectre afectarían a Nintendo Switch y posiblemente a One y PS4

Hace unas horas se destapaba una de las mayores fallas de seguridad de la historia de la informática reciente. Conocido como Spectre, se trata una vulnerabilidad muy importante que afecta a casi todos los procesadores comercializados en los últimos veinte años, sin importar si utilizamos Windows, Linux, Android, MacOS o iOS. Pero ¿y las consolas?

Un bug de seguridad que afecta directamente a Nintendo Switch

Si bien durante los primeros instantes se hablaba de que únicamente se había detectado en procesadores y CPU Intel, hace escasas horas empresas como AMD y ARM, dos de los fabricantes más importantes del mundo, han reconocido tener gamas y líneas enteras de chips afectadas por este error. Entre ellas, los procesadores Cortex-A de los que hace gala Nintendo Switch. Este bug o exploit, que afecta a la seguridad del dispositivo porque permite acceder a los elementos más vulnerables del sistema -aquellos que rigen desde el funcionamiento a los archivos sensibles en términos de datos e información-, podría golpear de lleno a Switch.

La máquina de Nintendo utiliza un ARM Cortex-A57 y estaría expuesta a estos fallos aunque, dependiendo de las variantes de su sistema operativo basado en FreeBSD, hablaríamos de problemas de mayor o menor gravedad. Tampoco está claro qué tipo de agujeros se encontrarían en estas versiones de la CPU pues los fabricantes no han dado más detalles y existen decenas de variantes a considerar.

¿Afectará a PS4 y Xbox One?

Las consolas de Sony y Microsoft, en todas sus variantes, usan una CPU de AMD basada en la microarquitectura Jaguar. Debido a que hablamos de un hardware custom, como en el caso Nintendo, no se sabe hasta que punto son vulnerables. Sin embargo, otras CPU de AMD como FX o Pro están expuestas a esta grave falla de seguridad, por lo que es probable que estas consolas también estén en peligro.

¿Cómo podría afectar a los usuarios?

Es difícil de prever. El uso limitado de las consolas, con sistemas operativos cerrados y más concretos que los principales entornos de software ofimáticos, reducen mucho la vulnerabilidad de las CPU. Además, la personalización del hardware de los fabricantes y diseñadores dificultarían a los hackers y usuarios que decidan aprovechar estos problemas. De momento, las consecuencias derivadas de la forzosa solución para cerrar esta puerta se desconocen.

La semana que viene, Intel, AMD, ARM y otras empresas del sector tecnológico ofrecerán información más detallada acerca de Meltdown y Spectre, nombres de estos bugs y problemas, siendo en ese momento cuando sepamos a ciencia cierta todos los dispositivos afectados por este agujero de seguridad y de qué manera se solucionarán.

Fuente

Un poco sesgado el artículo, cuando las posibilidades de fallo son las mismas en todas las consolas, ya que AMD tiene el mismo problema que ARM e Intel

No es cierto. AMD NO tiene el mismo problema que ARM e Intel. De hecho, ARM tampoco tiene el mismo problema que Intel.

Son problemas distintos, y más difíciles de exploitear.

Google parchea los procesadores vulnerables con un “impacto insignificante en el rendimiento”

Google, compañía que descubrió las dos vulnerabilidades críticas Meltdown y Spectre presentes en la mayoría de procesadores existentes, ha dado una buena noticia a la industria. Dos de sus ingenieros han desarrollado e implementado en toda la estructura de la compañía un parche a los procesadores que aplaca los efectos de los fallos de seguridad con un ínfimo impacto en su rendimiento.

La compañía también ha publicado los detalles de la nueva técnica llamada ReptOnline que mitiga los efectos de una de las variantes de Spectre, con el objetivo de que el resto de compañías puedan desplegarla en todos sus equipos. Si los análisis de Google son correctos en Intel, la principal compañía afectada por los fallos de seguridad, ya pueden respirar más tranquilos, pues habrán evitado la ralentización que muchos habían anticipado.

“Se ha especulado que la implementación de KPTI causa una ralentización significativa del rendimiento”, dice Google en referencia a la técnica de Aislamiento de la tabla de páginas del Kernel” (KPTI, por sus siglas en inglés). “El rendimiento puede variar, ya que el impacto de las mitigaciones de KPTI dependen de la tasa de llamadas al sistema realizadas por una aplicación. En la mayoría de nuestras cargas de trabajo, incluida nuestra infraestructura en la nube, observamos un impacto insignificante en el rendimiento”.

Las palabras de Google coinciden con los primeros informes de Intel, donde se afirmaba que “cualquier impacto en el rendimiento dependerá de la carga de trabajo, y para el usuario medio no debería ser significativo”. Quien también se alinea con Google e Intel es Amazon, propietaria de uno de los principales servicios cloud computing del mundo, quien no espera sufrir ningún efecto negativo en el rendimiento en su plataforma en la nube debido a los parches que atajen las vulnerabilidades Meltdown y Spectre.

En las últimas horas Intel también ha lanzado nuevas actualizaciones de seguridad para que sus chips sean “inmunes” a Meltdown y Spectre. Según la compañía en los próximos días habrá ofrecido a sus socios una solución para el 90 % de los procesadores fabricados en los últimos cinco años. Apple también se ha puesto manos a la obra y ya ha anunciado las primeras actualizaciones para iOS y macOS. Menos trabajo tiene AMD, que debido a diferencias en la arquitectura sus procesadores solo se ven afectados por una variante de Spectre que se mitiga con una actualización del sistema operativo.

La nueva solución de Google solo se aplica a una de las tres variantes de Meltdown y Spectre. Sin embargo, es la más difícil de abordar, ya que las otras dos pueden ser solucionadas a nivel de software y sistema operativo, siendo poco probable que causen ralentizaciones.

Fuente

Microsoft paraliza la distribución de parches para corregir Meltdown y Spectre en equipos AMD

Microsoft ha paralizado la distribución de los parches para Meltdown y Spectre destinados a los ordenadores con procesadores AMD después de recibir múltiples quejas de usuarios cuyos equipos no podían arrancar tras su instalación. Aunque inicialmente parecían casos aislados, las incidencias han resultado ser lo bastante frecuentes como para que Microsoft congele temporalmente la solución a uno de los peores bugs que se recuerdan en la historia de la informática.

Según Microsoft, el problema no reside en la solución en sí misma, sino en AMD, y más concretamente en la documentación de su hardware. De acuerdo con las declaraciones realizadas por un portavoz de la compañía:

Microsoft ha recibido informes de clientes con algunos dispositivos AMD incapaces de arrancar tras instalar actualizaciones de seguridad recientes para el sistema operativo Windows. Tras investigarlo, Microsoft ha determinado que algunos chipsets AMD no siguen la documentación previamente proporcionada a Microsoft para desarrollar mitigaciones para el sistema operativo de Microsoft que protejan contra las vulnerabilidades del chipset conocidas como Spectre y Meltdown.

En estos momentos AMD y Microsoft están trabajando juntas para reanudar la distribución de los parches.

Intel: casi todos los chips recientes serán parcheados próximamente

Por otro lado, Brian Krzanich, CEO de Intel, ha señalado en su conferencia del CES que la inmensa mayoría de sus procesadores más recientes serán parcheados durante los próximos días. "Intel espera lanzar actualizaciones para nuestros procesadores y productos lanzados durante los últimos cinco años en una semana, y para el resto de aquí a finales de enero", ha declarado el ejecutivo.

En cuanto al delicado asunto de la reducción de prestaciones, Krzanich reitera que el impacto real dependerá totalmente del tipo de trabajo realizado, por lo que resulta difícil ofrecer porcentajes concretos y universales. Asimismo, desde Intel se mantiene que no se tiene constancia de que se hayan producido ataques utilizando dichas vulnerabilidades, aunque estas llamadas a la calma probablemente van a servir de muy poco para tranquilizar a administradores y usuarios de todo el mundo.

Fuente

Microsoft revela cómo los parches para Spectre y Meltdown pueden ralentizar a un equipo con Windows

Mientras parte de la industria tecnológica se preocupa por afirmar que las actualizaciones para mitigar las vulnerabilidades Spectre y Meltdown tienen un insignificante impacto en el rendimiento, Microsoft sorprende con un informe donde se detalla que no siempre será así. Los de Redmond afirman que los usuarios con ordenadores modernos y Windows 10 no notarán cambios significativos, pero los propietarios de un equipo no tan reciente con Windows 7 o Windows 8 sí apreciarán un descenso del rendimiento.

En una entrada publicada en el blog oficial de Microsoft, Terry Myerson, vicepresidente ejecutivo del grupo Windows y Dispositivos, explica que los equipos con Windows 10 que se sirvan de un procesador Haswell de Intel o anterior experimentarán una ralentización del sistema que notarán algunos usuarios. En caso de que ese mismo ordenador corra sobre Windows 7 o Windows 8 existirá una disminución del rendimiento que notarán la mayoría de usuarios.

Los equipos menos afectados por los parches que buscan mitigar los efectos de Spectre y Meltdown serán los que usen Skylake, Kaby Lake o una microarquitectura más moderna de Intel. Según Microsoft estos ordenadores muestran ralentizaciones de un dígito, y la compañía pronostica que la mayoría de usuarios no notará ninguna diferencia ya que hablamos de un porcentaje que se refleja en milisegundos.

• Con Windows 10 ejecutándose en Skylake, Kaby Lake o un procesador más moderno existe una “ralentización de un solo dígito”, pero la mayoría de usuarios no debería notarlo.
  
• Con Windows 10 ejecutándose en Haswell o un procesador más viejo se observa una “ralentización más significativa” y “algunos usuarios notarán una disminución en el rendimiento del sistema".
  

Con Windows 7 o Windows 8 ejecutándose en Haswell o un procesador más viejo “la mayoría de usuarios notarán una ralentización en el rendimiento del sistema”.
Microsoft también aborda cómo afecta la solución a Spectre y Meltdown en Windows Server, afirmando que se aprecia un impacto significativo en el rendimiento en función de la intensidad de las cargas de trabajo. Por ese motivo y sin que sirva de precedente, Microsoft invita a los administradores de sistemas a evaluar si deben o no aplicar los parches. Si un servidor solo ejecuta código administrado y no está abierto a un ataque vía navegador u otro código se podría esquivar la actualización de firmware. Sin embargo, esto implica riesgos y no evita que en un futuro sí se deban aplicar los parches.

Microsoft informa que ya ha ofrecido actualizaciones para mitigar los efectos de Spectre y Meltdown en 41 de las 45 ediciones de Windows existentes. El resto recibirán su parche pronto. Se trata de un proceso que están completando otras compañías responsables de sistemas operativos y navegadores como Google y Apple, pero que en el caso de Microsoft ha sufrido un problema con algunos chipsets AMD. Actualmente ambas compañías están trabajando para solucionarlo.

Fuente

Nvidia actualiza sus drivers para protegerlos contra Spectre

Si se puede extraer una lección del revuelo levantado por el descubrimiento de las vulnerabilidades Meltdown y Spectre, es que estos desastrosos fallos no son solo cosa de una compañía. Ni de dos. Ni siquiera de tres. Prácticamente toda la industria informática está afectada de una forma u otra, y así como Nvidia ha declarado que sus tarjetas gráficas son "inmunes", la compañía ha terminado parcheando sus drivers para evitar mayores complicaciones.

La actualización de seguridad viene incluida en los drivers 390.65 e incorpora una serie de "mitigaciones" para una variante de Spectre que podría afectar a varios de sus productos de forma algo indirecta. Según informa el boletín de seguridad de Nvidia, esta actualización busca proteger a aquellos sistemas dotados con tarjetas y soluciones basadas en GeForce, Tesla, Grid, NVS y Quadro. 

Por otro lado, Nvidia también ha actualizado sus dispositivos Shield Tablet y Shield TV, así como los módulos Tegra Jetson TK1, TX1 y TX2. Este último es además el único producto de Nvidia que también es vulnerable a Meltdown.

Los parches correspondientes ya están disponibles tanto para Linux como para Windows.

Si bien Nvidia no tiene nada que ver con el diseño de procesadores centrales al uso, el problema reside en que Spectre es una vulnerabilidad que trata de engañar a programas sin fallos de seguridad para acceder a información sensibles. Los drivers gráficos son al parecer particularmente útiles para los hackers de sombrero negro, y es que disfrutan de acceso en profundidad al kernel. Por este motivo, señala AnandTech, parchearlos es una cuestión prioritaria para Nvidia.

Aparte de todo lo dicho, los últimos drivers incorporan pequeñas mejoras visuales para Batman Arkham Knight, mayor soporte para ShadowPlay Highlights en el modo Battle Royale de Fortnite y los filtros de imagen FreeStyle, de los que ya hablamos en mayor detalle hace un par de días.

Fuente