SPECTRE NG (Nueva Generación) nuevas vulnerabilidades del CPU descubiertas
Esta semana se ha informado en varios medios de comunicación que se han descubierto ocho nuevas vulnerabilidades de clase Spectre. Los proveedores de hardware y software están analizando una vez más los datos y cumpliendo con los nuevos parches y actualizaciones para abordar las nuevas fallas. pageIMPACT es consciente de estas fallas de seguridad adicionales, y estamos preparados para actuar rápidamente para asegurar que tanto los sistemas de nuestros clientes como nuestros sistemas internos estén parcheados y protegidos tan pronto como los parches iniciales estén disponibles por parte de los socios de hardware y software afectados.
Cada vulnerabilidad tendrá su propio número en el directorio Common Vulnerability Enumerator (CVE). Los parches de Intel vendrán en dos oleadas, con una en mayo y la siguiente en agosto. Los desarrolladores de Linux también están trabajando en medidas contra Spectre, mientras que Microsoft está preparando parches para dichas vulnerabilidades, que distribuirán como actualizaciones opcionales. Además, Microsoft también ofrece 250.000 dólares en un programa de recompensas por errores desconocidos relacionados con Spectre. Se especula que las CPUs Advanced RISC Machine (ARM) de Softbank's ARM Holdings de Japón también se verán afectadas por estas nuevas vulnerabilidades, mientras que la arquitectura Advanced Micro Devices (AMD) todavía está siendo examinada.
Spectre NG es similar a los previamente parcheados, permitiendo a terceros extraer información sensible como contraseñas almacenadas en la memoria. Sin embargo, se dice que una de las nuevas variantes simplifica los ataques a través de las restricciones del sistema ejecutando un código de vulnerabilidad en una máquina virtual (VM) y atacando el sistema host desde allí, o atacando las VM de otros clientes que se ejecutan en el mismo servidor.