Actualizaciones de Google Chrome y Android para las infracciones de seguridad en los procesadores

Este miércoles (3), descubrimos que hay dos graves defectos en los procesadores desarrollados en los últimos veinte años. Los investigadores de seguridad de Google dicen que Spectre afecta a los chips de Intel , AMD y ARM; mientras que Meltdown parece restringido a Intel.

Esto significa que existen agujeros de seguridad en portátiles, servidores y teléfonos inteligentes, áreas en las que trabaja Google. Es por eso que la compañía ha detallado lo que está haciendo para mitigar el problema.

Actualizaciones de Google Chrome y Android para las infracciones de seguridad en los procesadores 1

Básicamente, Spectre permite que una aplicación filtre información confidencial a otra aplicación, rompiendo mecanismos de seguridad como la caja de arena de Google Chrome.

Como explicamos aquí, el problema es la ejecución especulativa. Los procesadores modernos intentan adivinar qué código se ejecutará para acelerar el rendimiento. Pueden ser inducidos a ejecutar código que parece «adivinado» pero que es malicioso.

Mientras tanto, Meltdown consiste en acceder a la memoria reservada para el kernel del sistema operativo, que tiene mayores permisos. Existe un mecanismo de seguridad para prevenir esto en los procesadores Intel, pero puede romperse.

Para resolver completamente el deshielo, sería necesario rediseñar los chips. Por lo tanto, la forma de actuar es a través del software, separando completamente los procesos de usuario y la memoria del núcleo. La técnica se llama KPTI (Kernel Page-Table Isolation), y puede reducir el rendimiento entre un 5% y un 30%.

Esto es lo que Google está haciendo para mitigar el problema a través del software:

Cromo

El Chrome 64, que saldrá a la venta el 23 de enero, tendrá protecciones adicionales para evitar las hazañas. Las futuras versiones incluirán más medidas preventivas, pero Google advierte que esto «puede conducir a una reducción del rendimiento».

Actualmente, Chrome ya tiene una función para mitigar el efecto Spectre, llamada Full Site Isolation. Puede activarse en la dirección chrome:///flags/#enable-site-per-process. Esto funciona en Windows, macOS, Linux y Android el navegador utiliza el renderizador Apple en iOS.

Chrome OS

Los dispositivos con Chrome OS recibirán las mismas medidas que el navegador Chrome. Además, los portátiles con un procesador Intel «en los núcleos 3.18 y 4.4 se fijan con el núcleo Page Table Isolation (KPTI) en Chrome OS 63 y superiores». Los núcleos más antiguos se actualizarán pronto.

Según Google, la falla no afecta a los Chromebooks con un procesador ARM. Sin embargo, «también se actualizarán con KPTI en una versión futura». Esta lista muestra qué dispositivos han recibido (o recibirán) la actualización.

Android

Google dice que el uso de los defectos recientemente descubiertos «ha resultado difícil y limitado en la mayoría de los dispositivos Android».

Aún así, el sistema recibió una actualización de seguridad que se distribuyó a los fabricantes en diciembre de 2017. Incluye mitigaciones que reducen el acceso a temporizadores de alta precisión que limitan los ataques a todas las variantes conocidas de los procesadores ARM. Las actualizaciones futuras vendrán con mitigaciones adicionales.

Google ya ha actualizado el Nexus 5X, Nexus 6P, Pixel C, Pixel/XL y Pixel 2/XL. En cuanto a los otros dispositivos Android, depende de cada fabricante.

Página principal de Google, Chromecast, Google Wifi, Google OnHub

Estos dispositivos «ejecutan únicamente el código de confianza de Google y no corren el riesgo de sufrir este ataque», dice la empresa.

Servicios de Google, incluido Google Apps/G Suite

La compañía dice que su infraestructura está protegida, incluyendo sus servicios -búsqueda, anuncios, YouTube, Maps, G Suite- y «datos de clientes almacenados por Google».

Google Cloud

Las plataformas Google Cloud «aíslan las cargas de trabajo de los clientes entre sí y están protegidas de ataques conocidos para las tres variantes. Puedes ver más detalles en este enlace.

Con información: Google, Mashable.

Contenido relacionado

Deja un comentario