Etiqueta: Seguridad

Nunca te puedes reír muchos de las vulnerabilidades del prójimo porque nunca saber cuándo te pueden ocurrir a tus productos. Bien es cierto que las vulnerabilidades de canal lateral han hecho mucho daño a los procesadores de Intel, pero los Ryzen y EPYC también han tenido hasta ahora algunos, aunque no tan severos. Pero acaba de anunciarse una vulnerabilidad de canal lateral en los Ryzen que necesitaría desactivar el multihilo simultáneo (SMT) para que solucionarlo. AMD le ha dado el número AMD-SB-1039, confirmando su existencia, y a su vez tiene el CVE-2021-46778.

Son habituales los problemas de seguridad en los BIOS de los portátiles debido a la mayor flexibilidad para modificarlos que tienen los fabricantes de portátiles, pero a su vez es una fuente de problemas. En los últimos tiempos se han ido poniendo más límites y mejorando la seguridad, pero no hay sistema totalmente seguro. Ahora Lenovo ha distribuido actualizaciones de BIOS para setenta modelos de portátiles distintos.

Las vulnerabilidades en los procesadores son cada vez más habituales, pero tras las conocidas como Meltdown y Spectre que afectaban a los procesadores de Intel se puso la mirada en las mecánicas menos evidentes de los procesadores para intentar encontrar nuevas brechas. Esas suelen ser las vulnerabilidades de canal lateral que aprovechan alguna característica física del procesador para acceder a la información que procesa en lugar de sus características lógicas. La última es Hertzbleed, que afecta a los procesadores de Intel y AMD.

La Unión Europea (UE) algunas veces da un paso adelante en unos terrenos y otras veces da un pasito atrás en otros, siempre según los intereses de la potencia de turno. En el caso de la privacidad de las comunicaciones, la Comisión Europea ha hecho una propuesta para eliminar de facto la encriptación de extremo a extremo alegando la persecución de actitudes criminales. Volveríamos diez años atrás a los tiempos en que EE. UU. pinchaba con el programa PRISM con el beneplácito de Microsoft, Apple, Google y otras tecnológicas.

Los fallos de seguridad son una constante hoy en día en cualquier pieza de software, y se notifican cientos de ellos cada día, pública o privadamente, pero generalmente son poco graves. Uno notificado recientemente sobre 7-Zip hacía soltar las alarmas porque aparentemente permitía fácilmente un escalado de privilegios de manera remota, al menos en boca de su descubridor que lo hizo público en GitHub. Pero otros investigadores más reputados y conocidos, incluido los del Proyecto Cero dentro de Google, le han quitado hierro al asunto.

Microsoft está trabajando en pulir Windows 11, con bastantes detalles que no terminan de funcionar correctamente, pero de cara al futuro está desarrollando nuevas características, entre ellas de seguridad. Con la modalidad mixta de teletrabajo y presencial que se está imponiendo en algunos países, la compañía ha puesto la mirada en la forma de instalar los programas con el 'control inteligente de aplicaciones'.

La Unión Europea está ultimando una nueva ley del mercado digital para homogeneizar distintos aspectos de los dispositivos inteligentes, entre otros, y uno de ellos tiene que ver con las aplis de mensajería. Los países miembros de la Unión han llegado a un acuerdo para que se obligue a las compañías de mensajería a que sean interoperables.

Los procesadores de Intel y aquellos basados en ARM son vulnerables a una nueva variante de Spectre v2 llamada BHI (inyección de histórico de salto). Como siempre, las compañías están enfrascadas en distribuir mitigaciones para este problema, pero va a mermar el rendimiento de los equipos. Al menos no tanto en el plano del procesamiento en general sino más bien en el plano del acceso al almacenamiento.

Las vulnerabilidades Spectre y Meltdown dejaron muy dañada la reputación de Intel en el terreno de la seguridad, a la vez que las mitigaciones redujeron notablemente el rendimiento en los procesadores de menos núcleos. También afectaban a otros procesadores que hacían uso de la ejecución especulativa como ciertos modelos de Qualcomm y Apple, y en menor medida a los de AMD. Después de eso han llegado variantes de todo tipo, y la última se llama inyección de histórico de salto (BHI, branch history injection), también llamada Spectre-BHB.

Las vulnerabilidades son ya una constante en cualquier sistema, y no hay que cebarse demasiado en las del oponente porque nunca sabes cuándo tendrás las tuyas. En el caso de Linux, ha vuelto a aparecer una de gran severidad que no ocurría desde la Dirty Cow de 2016. En esta ocasión, para asemejarse al nombre de esta, llega la Dirty Pipe que afecta a una enorme variedad de dispositivos basados en Linux, incluidos móviles con Android.