Consideradas las mayores vulnerabilidades de la historia de la informática, hay que tener claro que Meltdown y Spectre afectan a millones de procesadores de los fabricantes Intel, AMD, Qualcomm, Apple y Samsung.
El escándalo se destapó el pasado miércoles en The Register y The New York Times, donde daban eco a los investigadores que han realizado el descubrimiento.
¿En que consiste la vulnerabilidad de Meltdown?.
El sistema operativo almacena una serie de datos, que pueden ser muy sensibles (contraseñas y claves de cifrado) en su núcleo en determinadas direcciones de memoria. Estas direcciones están protegidas y solo accesibles a nivel de sistema.
Parece ser que un software maligno podría romper esta protección y acceder cómodamente a estas direcciones, logrando obtener la tan codiciada información reservada.
¿Y Spectre?
Esta vulnerabilidad aprovecha la ejecución especulativa para lograr acceder a las direcciones de memoria protegida que utilizan las aplicaciones. Bloques completos de información pueden estar a su alcance.
¿A quien afecta realmente?
Pues en el caso de Meltdown, las pruebas de los investigadores han dado positivo en todos los modelos de Intel fabricados desde el año 1995. En cuanto a AMD, las pruebas no han sido concluyentes, el fabricante asegura estar libre de esta amenaza. En cuanto a ARM (el procesador que puebla la inmensa mayoría de smartphones y tablets), sucede lo mismo que con AMD, aunque el fabricante reconoce algunos diseños afectados.
Con Spectre la cosa cambia, aquí sí que se ven afectados todos. Intel al igual que con Meltdown se ve completamente afectada, AMD también, aunque el fabricante no lo acaba de reconocer y le quita importancia y ARM está en la misma situación que Intel.
Hay que recordar que Qualcomm y Samsung utilizan diseños ARM, y que Apple solo parte de su tecnología por lo que esta podría no estar afectada, los investigadores siguen trabajando para esclarecer el alcance real en esta gama de productos.
¿Cómo protegerse?
En cuanto a Meltdown, aquí estamos en manos de los desarrolladores de software, en unas semanas se lanzarán actualizaciones por parte de Microsoft, Google y GNU Linux. Apple como en muchas ocasiones, no ofrece información al respecto, pero algunos rumores apuntan a que en las últimas actualizaciones ya han incorporado el parche correspondiente.
En cuanto a estas actualizaciones, parece ser que reducen el rendimiento en determinados procesos, algo que no está gustando a los usuarios, especialmente de Intel. No obstante Intel espera que se mejore el software y se reduzcan estos efectos adversos los antes posible.
El caso de Spectre es mucho más complejo, por ahora no hay solución, pero se espera que se encuentre una forma de evitar los posibles ataques mediante esta vulnerabilidad.
Hay que tener en cuenta que explotar esta vulnerabilidad no es nada fácil, sobre todo en los smartphones que trabajan en entornos altamente controlados. Pero en el entorno cloud, la preocupación es palpable, tanto Amazon como Google, por poner un ejemplo, podrían ser víctimas y sufrir el robo de información sensible de millones de usuarios. Las consecuencias de un acto de este calibre no podrían cuantificarse.