Etiqueta: Seguridad

Las vulnerabilidades en los procesadores no son exclusivas de Intel, aunque en los últimos tiempos se hayan cebado con la compañía. Es el resultado de que durante mucho tiempo la inmensa mayoría de procesadores de cliente vendidos han sido los de Intel, pero a medida que vaya pasando el tiempo se irán descubriendo fallos de seguridad en otras plataformas, como los procesadores ARM en móviles o los de AMD. El último problema afecta en especial a las unidades de procesamiento acelerado (APU) de esta última compañía, y ya tiene código de vulnerabilidad (CVE-2020-12890).

Intel ha tenido multitud de problemas de seguridad en sus productos en los últimos años, afectando sobre todo a sus procesadores. Por eso se ha ido tomando cada vez más en serio este apartado y en los últimos años ha promovido la tecnología de aseveración de control de flujo (CET, control-flow enforcement technology). Aunque fue introducida en 2016, es ahora cuando va a empezar a llegar en sus procesadores, empezando por los Tiger Lake que serán presentados en el tercer trimestre.

Cuando surgieron las vulnerabilidad Spectre y Meltdown de los procesadores Intel se le hizo evidente a Intel que habría multitud de formas de explotarlas y por eso pidió la ayuda de los investigadores para encontrarlas. Ahora llega un nuevo método conocido como muestreo del registro especial del búfer de datos (CVE-2020-0543) para el cual han desarrollado una herramienta de ejemplo para explotarla a la que han llamado CrossTalk.

Como vengo diciendo en los últimos meses, lo mejor del descubrimiento de nuevas vulnerabilidades en soportes lógicos y físicos del mundo de la tecnología son los logos de las mismas. En menor medida, también los nombres, unas veces con cierta creatividad y otras un poco de niño de tres años. Que cada uno decida dónde cae la nueva vulnerabilidad Thunderspy que afecta a los puertos Thunderbolt, el cual es un estándar desarrollado por Intel y que conforma el grueso de la próxima especificación USB 4.0.

Las vulnerabilidades de Windows son bastante habituales, como lo son en cualquier sistema operativo, pero lo que no es habitual es que Microsoft se retrase a la hora de distribuir una solución. Esto ha ocurrido con una vulnerabilidad de día cero de Windows, que además Microsoft ha tenido que avisar de que está siendo explotada por los piratas y por tanto todo el mundo, o al menos los que tengan equipos más sensibles, debería tomar medidas para evitarla mientras distribuyen un parche.

Intel está atravesando una mala racha en todos los aspectos, tanto por los problemas de que no cubre la demanda como por los problemas de sus procesos litográficos, pero el más importante es el de las vulnerabilidades que tienen sus procesadores. Ahora llega otra más basada en los problemas de la ejecución especulativa de Meltdown y Spectre, pero haciéndolo a la inversa.

En los últimos tiempos, y con las crecientes recompensas por encontrar fallos, están surgiendo cada vez más vulnerabilidades en todo tipo de dispositivos y programas. Las más notorias tienen que ver con los procesadores de Intel, pero eso no quiere decir que los procesadores de AMD sean más seguros. Con los procesadores Ryzen siendo superventas es normal que los investigadores estén cada vez más interesados en buscar vulnerabilidades en ellos.

Intel lleva unos años bastante malos en lo referente a la seguridad de sus procesadores, y este 2020 no parece que sea muy diferente. Tras años de no cuidar lo suficiente la seguridad, los problemas se le acumulan, y la última vulnerabilidad conocida destruye algo básico para la criptografía de un procesador: la raíz de confianza en la que siempre, siempre se puede confiar.

Microsoft está distribuyendo actualizaciones semestrales para Windows 10, pero bajo el capó siempre van incluidas diversas mejoras de seguridad. La compilación actual es la 1909, pero en las anteriores, hasta la 1903 de abril del año pasado, se mantienen diversos problemas de seguridad para los procesadores de Intel.

Porque no hay cuatro vulnerabilidades sin cinco —o seis, siete u ocho, he perdido la cuenta—, los procesadores de Intel sufren una nueva variante de la vulnerabilidad conocida como muestreo de datos de microarquitectura (MDS). Tiene el código CVE-2020-0549 y está catalogada como de gravedad media, por lo que no es tan terrible como vulnerabilidades previas, pero será parcheada por la compañía en breve.