Intel y AMD confirman nuevas variantes de Spectre: ¿me afectan?
Meses después del sonado escándalo, los fabricantes de chips Intel y AMD han confirmado la existencia de nuevas variantes de la famosa vulnerabilidad Spectre. Te explicamos para qué se usa.
Intel atravesó este 2018 uno de los momentos más delicados de su dilatada trayectoria como fabricante mundial de chips: resultados financieros no demasiado esperanzadores, las salidas de algunos de nombres insignes como Carlos Clerencia, su pérdida del liderazgo dentro de la industria de semiconductores y las vulnerabilidades Spectre y Meltdown.
Estas vulnerabilidades, por las que recibieron decenas de demandas colectivas, han afectado a los principales procesadores del mundo, con un impacto negativo en el rendimiento estimado en el 6%. Ahora, Intel y AMD han confirmado la existencia de otra nueva categoría de Spectre, que podría afectar potencialmente a todas las CPU de AMD, ARM e Intel. Esta podría usarse con el fin de explotar los compiladores de JavaScript Just-In-Time que se encuentran en los navegadores web, según un aviso de seguridad publicado por Microsoft.
Los primeros en advertir sobre hasta ocho nuevas vulnerabilidades fueron los expertos de la revista alemana c´t. Desde Microsoft advertían a los posibles afectados que “es posible que un atacante proporcione JavaScript que produzca código nativo que podría dar lugar a una instancia de CVE-2018-3639”, el identificador CVE asignado a la vulnerabilidad. No obstante, el proveedor de software anunciaba que Microsoft Edge, Internet Explorer y otros navegadores ya han llevado a cabo iniciativas para aumentar la dificultad de crear un canal lateral con éxito. El riesgo de esta variante de Spectre es bajo.
Las mitigaciones que los proveedores de navegadores implementaron para paliar la primera variante de Spectre en los tiempos de ejecución administrados “también son aplicables a la Variante 4 y están disponibles para que los consumidores las utilicen hoy”, apuntó Leslie Culbertson de Intel. Para asegurar la mitigación total, desde la compañía están “ofreciendo una mitigación adicional para la Variante 4, que es una combinación de microcódigo y actualizaciones de software”.
En Intel indican que sus actualizaciones de microcódigo para hacer frente a la Versión 4 también se aplican a otra variante adicional de Spectre conocida como Variant 3a (CVE-2018-3640) o ‘Rogue System Register Read’ (RSRE).
