Vulnerabilidad Meltdown y Spectre

Meltdown (CVE-2017-5754) y Spectre (CVE-2017-5715 y CVE-2017-5753) son varias vulnerabilidades de hardware, de tipo cache side-channel attack, ejecución especulativa y predicción indirecta; afectan procesadores modernos Intel, AMD y ARM. Un proceso podría leer direcciones ilegales de memoria, comprometiendo información sensible.

Estas son las soluciones publicadas por sistema operativo hasta el momento:

Sistema operativo o programa	Meltdown	Spectre
Microsoft Windows	Debe contar con una solución de antivirus compatible: https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ El antivirus institucional ESET cuenta con el soporte requerido^[1]. Aplique las actualizaciones de seguridad desde Windows Update (Dentro de la RedUCR se recomienda actualizar a través del servidor local WSUS). Específicamente: KB4056892 (Windows 10 versión 1709 y Windows Server 2016 versión 1709) KB4056891 (Windows 10 versión 1703 y Windows Server 2016 versión 1703) KB4056890 (Windows 10 versión 1607 y Windows Server 2016 versión 1607) KB4056888 (Windows 10 versión 1511) KB4056893 (Windows 10 versión 1507) KB4056898 (Windows 8.1 y Windows Server 2012 R2) KB4056899 (Windows Server 2012) KB4056897 (Windows 7 SP1 y Windows Server 2008 R2) Reinicie	El procedimiento es el mismo y en adición debe actualizar el microcode o firmware de su CPU de acuerdo a las instrucciones de cada fabricante^[2].
Apple iOS, macOS y tvOS	El un comunicado por parte de Apple^[3], la empresa menciona que todos sus dispositivos se ven afectados por ambas vulnerabilidades, excepto watchOS. Ya existen mitigaciones por medio de actualizaciones de software para iOS 11.2, macOS 10.13.2 y tvOS 11.2. Se recomienda ir a la herramienta de actualización de software de cada uno de estos sistemas para aplicar los últimos parches.	Según el mismo comunicado, Spectre es una vulnerabilidad más compleja y aun no tienen listo una mitigación final. No obstante, Apple a lanzado actualizaciones en iOS^[4] y MacOS^[5] para mitigar Spectre en el navegador Safari (Debe recordarse que esta vulnerabilidad puede ser explotada por Javascript malicioso).
Android	Google ha lanzado un boletín de seguridad^[6] sobre los parches aplicados en el proyecto de código abierto de Android (AOSP). Los fabricantes de dispositivos fueron notificados y ahora depende de ellos aplicar los cambios en cada uno de sus dispositivos por lo que los usuarios deben esperar a que los fabricantes envíen las actualizaciones OTA (over-the-air). ARM también lanzó un boletín de seguridad^[7] sobre los procesadores afectados: Cortex-A57, Cortex-A72 y Cortex-A73 son vulnerables a Spectre y solo Cortex-A75 es vulnerable a Meltdown. Mientras que el Cortex-A53 y Cortex-A55 no se ven afectados. El procesador Cortex-A53 es el más utilizado en los dispositivos de gama media.
Debian 9 Stretch (Estable)	Actualización disponible para Stable en el repositorio de security.^[8] Verificar que el repo de Debian Security está activo en el archivo `/etc/apt/sources.list`, debe leerse algo similar a esto: deb http://security.debian.org/ stable/updates main contrib non-free Ejecutar: sudo apt update && sudo apt upgrade Reiniciar el equipo para que los cambios tengan efecto	Los parques necesarios para el kernel de Linux en Debian ya están disponibles en Testing y se está trabajando para ponerlos disponibles en Stable.^[9]^[10] La recomendación de Debian es instalar el microcódigo de Intel y AMD, dependiendo del procesador, no obstante aún no están disponibles para Stable.^[11]^[12] Verificar que el repo de Debian Security (Non-free) está activo en el archivo `/etc/apt/sources.list`, debe leerse algo similar a esto: deb http://security.debian.org/ stable/updates main contrib non-free Ejecutar: Procesador Intel: Aún no está disponible para Stable sudo apt update && sudo apt install intel-microcode Procesador AMD: Aún no está disponible para Stable sudo apt update && sudo apt install amd64-microcode Reiniciar el equipo para que los cambios tengan efecto
Ubuntu	Ya se cuenta con los parches por parte del equipo de Ubuntu para las versiones de Ubuntu 16.04 LTS, 17.10 y 14.04 LTS^[13] Estos son los paquetes de kernel parchados: Ubuntu 14.04 LTS: linux-image-4.4.0-108-lowlatency 4.4.0-108.131~14.04.1 linux-image-4.4.0-1009-aws 4.4.0-1009.9 linux-image-4.4.0-108-generic 4.4.0-108.131~14.04.1 linux-image-lowlatency-lts-xenial 4.4.0.108.91 linux-image-generic-lts-xenial 4.4.0.108.91 linux-image-aws 4.4.0.1009.9 Ubuntu 17.10: linux-image-4.13.0-25-lowlatency 4.13.0-25.29 linux-image-generic 4.13.0.25.26 linux-image-4.13.0-25-generic 4.13.0-25.29 linux-image-lowlatency 4.13.0.25.26 Ubuntu 16.04 LTS: linux-image-4.4.0-108-lowlatency 4.4.0-108.131 linux-image-euclid 4.4.0.9021.21 linux-image-4.4.0-108-generic 4.4.0-108.131 linux-image-4.4.0-9021-euclid 4.4.0-9021.22 linux-image-generic 4.4.0.108.113 linux-image-aws 4.4.0.1047.49 linux-image-kvm 4.4.0.1015.15 linux-image-4.4.0-1047-aws 4.4.0-1047.56 linux-image-lowlatency 4.4.0.108.113 linux-image-4.4.0-1015-kvm 4.4.0-1015.20 Para aplicar la actualización. Ejecutar: sudo apt-get update && sudo apt-get upgrade && sudo apt-get dist-upgrade Reiniciar el equipo para que los cambios tengan efecto	En cuanto los parches estén disponibles se actualizará esta entrada.
Red Hat	Red Hat ya lanzó el conjunto de actualizaciones para varios de sus sistemas, incluyendo RHEL 7 y RHEL 6.^[14]^[15]^[16] Para realizar la actualización primero se debe contar con una suscripción válida para acceder los repositorios de actualización de Red Hat(RHSM). Ejecutar: yum update	El procedimiento es el mismo
CEntOS	El equipo de CEntOS esta trabajando en portar los parches desde las fuentes de Red Hat. En las próximas horas deberían estar disponibles en los repositorios Para actualizar solo se debe ejecutar: yum update	El procedimiento es el mismo
Mozilla Firefox	Instalar la versión 57.0.4^[17]. Opción 1, descargarlo desde https://www.mozilla.org/es-ES/firefox Opción 2, instalar desde el app store o repositorio de su sistema, como una actualización normal. Disponible ya en: Google Play Ubuntu 14.04 Ubuntu 16.04 Ubuntu 17.04 Ubuntu 17.10 Linux Mint 17.x Linux Mint 18.x Debian Sid Fedora 26 Fedora 27 Arch Linux	El procedimiento es el mismo
Google Chrome	Los parches vendrán con la versión 64, a publicarse el 23 de enero de 2018. Por mientras, los usuarios pueden activar la opción experimental Site Isolation^[18], así: En el campo para la URL ingresar a chrome://flags/#enable-site-per-process Buscar "Strict Site Isolation" y marcar la casilla "Enable" Reiniciar el navegador	El procedimiento es el mismo

Esta página se irá actualizando con forme los desarrolladores y fabricantes liberen nueva información y parches.

Referencias

[1] ttps://support.eset.com/alert6644/

[2] ttps://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

[3] ttps://support.apple.com/en-us/HT208394

[4] ttps://support.apple.com/en-us/HT208401

[5] ttps://support.apple.com/en-us/HT208397

[6] ttps://source.android.com/security/bulletin/2018-01-01

[7] ttps://developer.arm.com/support/security-update

[8] ttps://security-tracker.debian.org/tracker/CVE-2017-5754

[9] ttps://security-tracker.debian.org/tracker/CVE-2017-5715

[10] ttps://security-tracker.debian.org/tracker/CVE-2017-5753

[11] ttps://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886367

[12] ttps://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886382

[13] ttps://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

[14] ttps://bugzilla.redhat.com/show_bug.cgi?id=1519778

[15] ttps://bugzilla.redhat.com/show_bug.cgi?id=1519780

[16] ttps://bugzilla.redhat.com/show_bug.cgi?id=1519781

[17] ttps://www.mozilla.org/en-US/firefox/57.0.4/releasenotes/

[18] ttps://www.chromium.org/Home/chromium-security/site-isolation

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

Vulnerabilidad Meltdown y Spectre

Referencias

Menú de navegación

Herramientas personales

Espacios de nombres

Variantes

Vistas

Más

Buscar

Navegación

Herramientas