Tras una avalancha de rumores, especulaciones y declaraciones contradictorias, el problema de seguridad con los procesadores continúa. Ahora, como recogen en The New York Times, un grupo de varios investigadores, entre los que se encuentran expertos de Google, han destapado otra vulnerabilidad todavía más grave que la de Intel y que también afecta a fabricantes como AMD o ARM.
Los especialistas han apodado los dos fallos como Meltdown (refiriéndose al descubierto el pasado martes) y Spectre, que añade nuevos protagonistas y consecuencias al desastre. Como indican en su página web, donde detallan todas las características, los dos agujeros tienen algo en común: “estos errores de hardware permiten a los programas robar datos que actualmente se procesan en los ordenadores”.
A pesar de ello, existen diferencias. Mientras que Meltdown solo está presente en dispositivos de Intel y puede solucionarse con un parche que reduce el rendimiento hasta un 30%, Spectre pone en peligro a la mayoría de ordenadores, tablets y smartphones actuales. Además, es una vulnerabilidad mucho más difícil de mitigar y, como apuntan en Techcrunch, “solo puede ser solucionado parcialmente y llevará tiempo hasta que lo hagan”.
Según indican los investigadores, “Meltdown rompe el aislamiento más fundamental entre las aplicaciones del usuario y el sistema operativo”, lo que permitiría acceder a la memoria kernel (el núcleo del sistema) para leer el contenido oculto.
Pero Spectre va más allá: “Rompe el aislamiento entre diferentes aplicaciones y permite a un atacante engañar a programas que funcionan correctamente para filtrar sus secretos”, señalan. Básicamente, lo que hace es engañar a aplicaciones para que revelen información normalmente protegida e inaccesible. Uno accede a la memoria del sistema y el otro a la de los programas.
Reacciones de los gigantes tecnológicos
Por su parte, la respuesta de Intel es que “muchos dispositivos, procesadores y sistemas operativos son susceptibles a estos exploits”, refiriéndose más a Spectre que al problema que afecta solo a sus dispositivos. Los miembros de la compañía conocían el error desde el pasado junio, cuando Google comunicó la vulnerabilidad antes de que saliera a la luz. Pocos meses después, en noviembre, el CEO de Intel Brian Krzanich vendió la mitad de sus acciones de la compañía.
Asimismo, como explican en Xataka, AMD también reconoció ser parte del problema (aunque en un principio lo negaran): “El equipo de investigación en seguridad identificó tres variantes que se orientaban a atacar la ejecución especulativa.La amenaza y la respuesta a esas tres variantes es distinta según cada empresa de microprocesadores”.
Sin embargo, creen que es menor que en otros fabricantes y añaden que “AMD no es susceptible a las tres amenazas. Debido a las diferencias en la arquitectura de AMD, creemos que hay un riesgo prácticamente nulo para los procesadores de AMD en estos momentos”.
Mientras siguen apareciendo detalles de Meltdown y Spectre, los principales fabricantes ya han lanzado algunos parches para remediar parte de un problema sin total solución. Todo empezó con Intel, pero parece que la gravedad no para de crecer y que, probablemente, lo hará a medida que sigan apareciendo detalles.