Vulnerabilidad Meltdown y Spectre
Meltdown (CVE-2017-5754) y Spectre (CVE-2017-5715 y CVE-2017-5753) son varias vulnerabilidades de hardware, de tipo cache side-channel attack, ejecución especulativa y predicción indirecta; afectan procesadores modernos Intel, AMD y ARM. Un proceso podría leer direcciones ilegales de memoria, comprometiendo información sensible.
Estas son las soluciones publicadas por sistema operativo hasta el momento:
Sistema operativo o programa | Meltdown | Spectre |
---|---|---|
Microsoft Windows |
|
El procedimiento es el mismo y en adición debe actualizar el microcode o firmware de su CPU de acuerdo a las instrucciones de cada fabricante[2]. |
Apple iOS, macOS y tvOS | El un comunicado por parte de Apple[3], la empresa menciona que todos sus dispositivos se ven afectados por ambas vulnerabilidades, excepto watchOS.
Ya existen mitigaciones por medio de actualizaciones de software para iOS 11.2, macOS 10.13.2 y tvOS 11.2. Se recomienda ir a la herramienta de actualización de software de cada uno de estos sistemas para aplicar los últimos parches. |
Según el mismo comunicado, Spectre es una vulnerabilidad más compleja y aun no tienen listo una mitigación final.
No obstante, Apple a lanzado actualizaciones en iOS[4] y MacOS[5] para mitigar Spectre en el navegador Safari (Debe recordarse que esta vulnerabilidad puede ser explotada por Javascript malicioso). |
Android | Google ha lanzado un boletín de seguridad[6] sobre los parches aplicados en el proyecto de código abierto de Android (AOSP). Los fabricantes de dispositivos fueron notificados y ahora depende de ellos aplicar los cambios en cada uno de sus dispositivos por lo que los usuarios deben esperar a que los fabricantes envíen las actualizaciones OTA (over-the-air).
ARM también lanzó un boletín de seguridad[7] sobre los procesadores afectados: Cortex-A57, Cortex-A72 y Cortex-A73 son vulnerables a Spectre y solo Cortex-A75 es vulnerable a Meltdown. Mientras que el Cortex-A53 y Cortex-A55 no se ven afectados. El procesador Cortex-A53 es el más utilizado en los dispositivos de gama media. |
|
Debian 9 Stretch (Estable) | Actualización disponible para Stable en el repositorio de security.[8]
|
Los parques necesarios para el kernel de Linux en Debian ya están disponibles en Testing y se está trabajando para ponerlos disponibles en Stable.[9][10]
La recomendación de Debian es instalar el microcódigo de Intel y AMD, dependiendo del procesador, no obstante aún no están disponibles para Stable.[11][12]
|
Ubuntu | Ya se cuenta con los parches por parte del equipo de Ubuntu para las versiones de Ubuntu 16.04 LTS, 17.10 y 14.04 LTS[13]
Estos son los paquetes de kernel parchados:
Para aplicar la actualización.
|
En cuanto los parches estén disponibles se actualizará esta entrada. |
Red Hat | Red Hat ya lanzó el conjunto de actualizaciones para varios de sus sistemas, incluyendo RHEL 7 y RHEL 6.[14][15][16]
|
El procedimiento es el mismo |
CEntOS | El equipo de CEntOS esta trabajando en portar los parches desde las fuentes de Red Hat. En las próximas horas deberían estar disponibles en los repositorios
|
El procedimiento es el mismo |
Mozilla Firefox | Instalar la versión 57.0.4[17].
|
El procedimiento es el mismo |
Google Chrome | Los parches vendrán con la versión 64, a publicarse el 23 de enero de 2018.
Por mientras, los usuarios pueden activar la opción experimental Site Isolation[18], así:
|
El procedimiento es el mismo |
Esta página se irá actualizando con forme los desarrolladores y fabricantes liberen nueva información y parches.
Referencias
- ↑ https://support.eset.com/alert6644/
- ↑ https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
- ↑ https://support.apple.com/en-us/HT208394
- ↑ https://support.apple.com/en-us/HT208401
- ↑ https://support.apple.com/en-us/HT208397
- ↑ https://source.android.com/security/bulletin/2018-01-01
- ↑ https://developer.arm.com/support/security-update
- ↑ https://security-tracker.debian.org/tracker/CVE-2017-5754
- ↑ https://security-tracker.debian.org/tracker/CVE-2017-5715
- ↑ https://security-tracker.debian.org/tracker/CVE-2017-5753
- ↑ https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886367
- ↑ https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886382
- ↑ https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
- ↑ https://bugzilla.redhat.com/show_bug.cgi?id=1519778
- ↑ https://bugzilla.redhat.com/show_bug.cgi?id=1519780
- ↑ https://bugzilla.redhat.com/show_bug.cgi?id=1519781
- ↑ https://www.mozilla.org/en-US/firefox/57.0.4/releasenotes/
- ↑ https://www.chromium.org/Home/chromium-security/site-isolation