Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Apple confirma que todos los dispositivos son afectados por Meltdown y Spectre

Apple ha confirmado que todos los iPhones, iPads y computadoras Mac se ven afectados por los exploits de microprocesadores recientemente descubiertos, mientras que la industria de servicios financieros evalúa el riesgo.

Apple ha lanzado actualizaciones de software para su sistema operativo luego de confirmar que todos sus dispositivos se ven afectados por fallas del microchip llamadas Spectre y Meltdown.

La industria de la tecnología se ha esforzado por arreglar las fallas del chip que afectan a todos los procesadores modernos y podrían dejar a los consumidores y las empresas en riesgo de que sus datos sean accedidos o robados.

Si bien todos los sistemas Mac y dispositivos iOS se ven afectados, Apple dijo que no había exploits conocidos que afectaran a los usuarios de dispositivos Apple y recomendó descargar software solo de fuentes confiables.

Apple ha lanzado mitigaciones en iOS 11.2, macOS 10.13.2 y tvOS 11.2 para ayudar a defenderse contra Meltdown, y dijo que el Apple Watch no se vio afectado.

El impacto de las mitigaciones para Meltdown se ha estimado tan alto como una reducción del 30% en el rendimiento, pero Apple afirmó que las actualizaciones que había publicado hasta el momento dieron como resultado "una reducción no mensurable en el rendimiento" de macOS e iOS.

Apple también planea liberar mitigaciones en su navegador Safari para ayudar a defenderse contra Spectre "en los próximos días" y dijo que las pruebas indicaron que las mitigaciones de Safari tendrían poco o ningún impacto mensurable en el rendimiento.

La compañía dijo que continuaría desarrollando y probando nuevas mitigaciones para Spectre y Meltdown, y que se lanzarían futuras actualizaciones de iOS, macOS, tvOS y watchOS.

Los exploits se aprovechan de la ejecución especulativa

Los exploits Meltdown y Spectre aprovechan una característica moderna de rendimiento de CPU llamada ejecución especulativa, que mejora la velocidad al operar en múltiples instrucciones a la vez.

Para aumentar el rendimiento, la CPU predice qué ruta de una rama es más probable que se tome, y continuará especulativamente la ejecución por esa ruta incluso antes de que se complete la bifurcación. Si la predicción fue incorrecta, esta ejecución especulativa se revira de una manera que pretende ser invisible para el software.

Pero las técnicas de explotación de Meltdown y Spectre abusan de la ejecución especulativa, también conocida como ejecución fuera de orden, para acceder a la memoria privilegiada, incluida la del kernel, desde un proceso de usuario menos privilegiado, como una aplicación maliciosa que se ejecuta en un dispositivo.

Meltdown se refiere específicamente a un exploit conocido como "rogue data cache load" (CVE-2017-5754) que puede permitir que un proceso de usuario lea la memoria del kernel. Según Apple, Meltdown tiene el mayor potencial para ser explotado.

Los investigadores que descubrieron las fallas dijeron que Meltdown podría afectar a todos los procesadores Intel fabricados desde 1995 que implementen la ejecución fuera de servicio, con la excepción de Itanium y Atom.

Spectre, por su parte, se refiere a dos técnicas de explotación diferentes conocidas como CVE-2017-5753, o "circunvalación de verificación de límites", y CVE-2017-5715, o "inyección de objetivo de rama". Estas técnicas potencialmente hacen que los elementos en la memoria del kernel estén disponibles para los procesos del usuario, aprovechando un retraso en el tiempo que puede tomar la CPU para verificar la validez de una llamada de acceso a la memoria.

Los investigadores han verificado que la vulnerabilidad Spectre afecta a los chips fabricados por Intel, AMD y ARM, pero AMD afirmó que Spectre tenía un "riesgo casi nulo" debido a las diferencias en la arquitectura del chip, mientras que ARM observó que la mayoría de sus chips no fueron afectados.

Corregir la seguridad, un trabajo en progreso

Al igual que Apple, Microsoft y Google han estado trabajando en actualizaciones de software para mitigar los defectos de los chips desde que fueron revelados por los investigadores a finales de 2017, y han comenzado a lanzar esas actualizaciones. Según Google, sus teléfonos Android están protegidos si los usuarios han aplicado las últimas actualizaciones de seguridad.

Y como informó anteriormente Computer Weekly, publicación hermana de SearchDataCenter en Español, la comunidad de proveedores de la nube se ha movilizado para proteger a los usuarios de los fallos de seguridad, pero los investigadores han sugerido que reemplazar el hardware de CPU subyacente puede ser necesario para erradicar el riesgo de explotación.

La industria de servicios financieros también está preocupada por el impacto potencial de las fallas del chip y, según el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC), sus miembros continúan evaluando el riesgo real y buscando información adicional sobre las vulnerabilidades y su impacto potencial.

"La comunidad de servicios financieros toma en serio todas las vulnerabilidades y toma medidas proactivas para garantizar una adecuada mitigación del riesgo", dijo la organización, señalando que además de las consideraciones de seguridad a raíz de Meltdown y Spectre, se espera una degradación del rendimiento.

Este impacto en el rendimiento, dijo FS-ISAC, podría requerir más potencia de procesamiento para que los sistemas afectados compensen y mantengan el rendimiento básico actual, lo que significa que los costos adicionales también pueden ser un factor para mantener el rendimiento actual del sistema y las aplicaciones.

"Incluso fuera del conocido golpe de rendimiento, la reparación de vulnerabilidades a nivel kernel generalmente requiere más pruebas que el navegador, las aplicaciones de productividad de la oficina y otros parches, debido al enlace directo subyacente al sistema operativo. Por ello, debe haber consideración y equilibrio entre la fijación de la amenaza de seguridad potencial frente al rendimiento y otro posible impacto en los sistemas. El pensamiento general actual es que el riesgo de seguridad será menor en servidores dedicados y puntos finales (debido al requerimiento de explotación esperado para ejecutar código en un sistema individual) y será superior en computadoras compartidas, como servicios de hospedaje y en la nube que usan el mismo hardware físico (y procesador) para compartir diferentes máquinas virtuales (de usuario)", estimó la FS-ISAC.

Este artículo se actualizó por última vez en enero 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close