Diferencia entre revisiones de «Meltdown (vulnerabilidad)»
Contenido eliminado Contenido añadido
m Corrección de una referencia. |
Actualización. |
||
Línea 9:
|familia =
|clasificación =
|tipo = [[Intel]], [[IBM POWER]], [[Arquitectura ARM|ARM]]
|subtipo = [[x86-64]]
|desarrollador =
Línea 19:
}}
La vulnerabilidad '''Meltdown''' es un [[agujero de seguridad]] en el ''[[hardware]]'' que afecta a los [[procesadores]] [[Intel x86]],
Meltdown afecta a una amplia gama de sistemas. En el momento de hacerse pública su existencia se incluían todos los dispositivos que no utilizasen una versión convenientemente [[parche (informática)|parcheada]] de [[iOS]],<ref name=":1"/> [[GNU/Linux]],<ref>{{Cite news|url=http://www.zdnet.com/article/major-linux-distros-have-meltdown-patches-but-thats-only-part-of-the-fix/|title=Major Linux distros have Meltdown patches, but that's only part of the fix|last=Vaughan-Nichols|first=Steven J.|date=11 de enero de 2018|work=[[ZDNet]]|access-date=16 de enero de 2018|archive-url=|archive-date=|dead-url=|language=en}}</ref><ref>{{Cite web|url=https://security-tracker.debian.org/tracker/CVE-2017-5754|title=CVE-2017-5754|website=security-tracker.debian.org|access-date=16 de enero de 2018|language=en}}</ref> [[macOS]],<ref name=":1">{{cite web |url=https://www.macrumors.com/2018/01/04/apple-meltdown-spectre-vulnerability-fixes/ |title=Apple Confirms 'Meltdown' and 'Spectre' Vulnerabilities Impact All Macs and iOS Devices, Some Fixes Already Released |publisher=|language=en}}</ref> [[Windows]] y [[Windows 10 Mobile]]. Por lo tanto, muchos servidores y [[computación en la nube|servicios en la nube]] se han visto impactados,<ref>{{cita web|url=https://winbuzzer.com/2018/01/04/cert-warns-way-fix-intel-kernel-security-flaw-replace-cpu-xcxwbn|title=CERT: "Meltdown and Spectre" CPU Security Flaw Can Only Be Fixed by Hardware Replacement|date=4 de enero de 2018|publisher=|website=WinBuzzer.com|idioma=en}}</ref> así como potencialmente la mayoría de dispositivos inteligentes y [[sistemas embebidos]] que utilizan procesadores con arquitectura ARM (dispositivos móviles, TVs inteligentes y otros), incluyendo una amplia gama de equipo usado en redes. Se ha considerado que una solución basada únicamente en software para Meltdown enlentecería los ordenadores entre un cinco y un 30 por ciento dependiendo de la tarea que realizasen.<ref>{{Cita noticia|título=Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign|url=https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/|fechaacceso=5 de enero de 2018|website=[[The Register]]|idioma=en}}</ref> Por su parte, las compañías responsables de la corrección del software en relación con este agujero de seguridad informan de un impacto mínimo según pruebas tipo.<ref>{{Cita web|url=https://newsroom.intel.com/news-releases/industry-testing-shows-recently-released-security-updates-not-impacting-performance-real-world-deployments/|title=Industry Testing Shows Recently Released Security Updates Not Impacting Performance in Real-World Deployments|author-last=|author-first=|date=4 de enero de 2018|website=Intel newsroom|archive-url=|archive-date=|dead-url=|access-date=5 de enero de 2018|idioma=en}}</ref>
Línea 25:
A Meltdown le fue asignado en enero de 2018 el IDentificador CVE-2017-5754, también conocido como Carga Maligna del Caché de Datos (''Rogue Data Cache Load'').<ref name="auto1"/> Su existencia fue revelada junto con la de otra vulnerabilidad, [[Spectre (vulnerabilidad)|Spectre]], con la cual comparte algunas características. Las vulnerabilidades Meltdown y Spectre han sido consideradas como "catastróficas" por algunos analistas de seguridad.<ref>{{Cite web |author-first=Bruce |author-last=Schneier |author-link=Bruce Schneier |url=https://www.schneier.com/blog/archives/2018/01/spectre_and_mel_1.html|title=Spectre and Meltdown Attacks Against Microprocessors - Schneier on Security |website=www.schneier.com |access-date=9 de enero de 2018}}</ref><ref>https://www.cylance.com/en_us/blog/this-week-in-security-internet-meltdown-over-spectre-of-cpu-bug.html</ref><ref>http://www.rudebaguette.com/2018/01/08/meltdown-spectre-heres-what-you-should-know/</ref> Su gravedad es de tal magnitud que al comienzo los investigadores no daban crédito.<ref>{{cite web |title=‘It Can’t Be True.’ Inside the Semiconductor Industry’s Meltdown |author-first1=Ian |author-last1=King |author-first2=Jeremy |author-last2=Kahn |author-first3=Alex |author-last3=Webb |author-first4=Giles |author-last4=Turner |date=8 de enero de 2018 |journal=[[Bloomberg Technology]] |publisher=[[Bloomberg L.P.]] |url=https://www.bloomberg.com/news/articles/2018-01-08/-it-can-t-be-true-inside-the-semiconductor-industry-s-meltdown |access-date=10 de enero de 2018 |dead-url=no |archive-url=https://web.archive.org/web/20180110032657/https://www.bloomberg.com/news/articles/2018-01-08/-it-can-t-be-true-inside-the-semiconductor-industry-s-meltdown |archive-date=10 de enero de 2018|language=en}}</ref>
Se han publicado varios procedimientos para ayudar a proteger las computadoras personales y otros dispositivos relacionados contra las vulnerabilidades de seguridad Meltdown y Spectre.<ref name="NYT-20180104"/><ref name="FM-20180105"/><ref name="PCW-20180104"/><ref name="CNET-20180104"/> Los parches para Meltdown pueden producir una pérdida de rendimiento.<ref name="bbcflaw" /><ref name="NYT-20180103"/><ref name="TV-20180104" /> Asimismo, se ha informado de que los parches para Spectre degradan también de forma significativa el rendimiento, especialmente en los ordenadores más antiguos; en las nuevas plataformas de octava generación se han medido caídas de rendimiento de entre un 2 y un 14%.<ref name="PCW-20180109">{{cite web |author-last=Hachman |author-first=Mark |title=Microsoft tests show Spectre patches drag down performance on older PCs |url=https://www.pcworld.com/article/3245742/components-processors/microsoft-tests-show-spectre-patches-drag-down-performance-on-older-pcs.html |date=9 de enero de 2018 |work=[[PC World]] |access-date=9 de enero de 2018}}</ref> El 18 de enero de 2018 se supo de problemas con reinicios indeseados tras la instalación de los parches para Meltdown y Spectre, afectando incluso a los chips más recientes de Intel.<ref name="ZDN-20180118"/> En cualquier caso y según [[Dell]]: "''No se ha tenido constancia hasta la fecha (26 de enero de 2018) de que estas vulnerabilidades hayan sido puestas en práctica en el mundo real, a pesar de que los investigadores han publicado pruebas de concepto''".<ref name="DELL-20180126a">{{cite web |author=Staff |title=Microprocessor Side-Channel Vulnerabilities (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products |url=http://www.dell.com/support/article/us/en/19/sln308587/microprocessor-side-channel-vulnerabilities-cve-2017-5715-cve-2017-5753-cve-2017-5754-impact-on-dell-products |date=26 de enero de 2018 |work=[[Dell]] |accessdate=26 de enero de 2018 |language=en}}</ref><ref name="DELL-20180126b">{{cite web |author=Staff |title=Meltdown and Spectre Vulnerabilities |url=http://www.dell.com/support/contents/us/en/19/article/product-support/self-support-knowledgebase/software-and-downloads/support-for-meltdown-and-spectre |date=26 de enero de 2018 |work=[[Dell]] |accessdate=26 de enero de 2018 |language=en}}</ref> Asimismo, entre las medidas preventivas recomendadas citan "''instalar de inmediato las actualizaciones de software a medida que se publiquen, evitar seguir enlaces a sitios desconocidos, no descargar archivos o aplicaciones de fuentes desconocidas... seguir los protocolos de seguridad a la hora de usar contraseñas seguras... (usar) software de seguridad para ayudar a protegerse del [[malware]] (programas avanzados de prevención de amenazas, o antivirus)''".<ref name="DELL-20180126a" /><ref name="DELL-20180126b" />
El 25 de enero de 2018 se presentó un informe sobre el estado actual así como de las posibles consideraciones a tomar de cara al futuro con el fin de resolver las vulnerabilidades Meltdown y Spectre.<ref name="PC-20180125">{{cite web |last=Hachman |first=Mark |title=Intel's plan to fix Meltdown in silicon raises more questions than answers - But what silicon?!! Be sure and read the questions Wall Street should have asked.|url=https://www.pcworld.com/article/3251171/components-processors/intels-plan-to-fix-meltdown-in-silicon-raises-more-questions-than-answers.html |date=25 de enero de 2018 |work=[[PC World]] |accessdate=26 de enero de 2018 |language=en}}</ref>
== Base de funcionamiento ==
Línea 34 ⟶ 36:
El agujero es viable en cualquier sistema operativo en el que la información privilegiada se mapee a memoria virtual para procesos no privilegiados, una característica que incorporan muchos sistemas operativos actuales. Por lo tanto, potencialmente Meltdown puede afectar a una gama de dispositivos mayor que la identificada actualmente, dado que apenas hay variaciones entre las familias de microprocesadores utilizados por estos sistemas.
Un ataque basado en esta vulnerabilidad sería indetectable.<ref name="spectreattack.com">https://spectreattack.com/</ref><ref>https://www.cybereason.com/blog/what-are-the-spectre-and-meltdown-vulnerabilities</ref>
== Historia ==
Línea 67 ⟶ 69:
Una vez que los fabricantes del ''hardware'' y el ''software'' afectados tuvieron conocimiento del problema el 28 de julio de 2017,<ref name="Gibbs_20180104">{{cita web |url=https://www.theguardian.com/technology/2018/jan/04/meltdown-spectre-worst-cpu-bugs-ever-found-affect-computers-intel-processors-security-flaw |title=Meltdown and Spectre: ‘worst ever’ CPU bugs affect virtually all computers |author-first=Samuel |author-last=Gibbs |publisher=[[The Guardian]] |date=4 de enero de 2018|access-date=6 de enero de 2018|dead-url=no |archive-url=https://web.archive.org/web/20180106114401/https://www.theguardian.com/technology/2018/jan/04/meltdown-spectre-worst-cpu-bugs-ever-found-affect-computers-intel-processors-security-flaw |archive-date=6 de enero de 2018|idioma=en}}</ref> las dos vulnerabilidades se hicieron públicas conjuntamente el 3 de enero de 2018, varios días antes de la fecha de anuncio decidida del 9 de enero de 2018, debido a que varios sitios de noticias comenzaron a informar sobre los cambios al núcleo de Linux y los mensajes a su lista de correo.<ref>{{Cita noticia|título=Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign|url=https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/|fecha=2 de enero de 2018|fechaacceso=5 de enero de 2018|website=[[The Register]]|idioma=en}}</ref> Como resultado de este adelanto en los acontecimientos, no se disponía todavía de parches para algunas plataformas, como Ubuntu,<ref>{{Cita web |url=https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown |title=Information Leak via speculative execution side channel attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 aka Spectre and Meltdown) |website=Ubuntu Wiki |access-date=4 de enero de 2018|idioma=en}}</ref> cuando se revelaron ambas vulnerabilidades.
La vulnerabilidad fue denominada Meltdown porque "''básicamente lo que hace es derretir las barreras de seguridad que normalmente coloca el hardware''".<ref
== ''Hardware'' afectado ==
Línea 153 ⟶ 155:
Existen numerosos informes de que el parche de Microsoft [https://support.microsoft.com/es-es/help/4056892/windows-10-update-kb4056892 KB4056892] para mitigar Meltdown y Spectre está causando que algunas computadoras con procesadores AMD no puedan iniciar el sistema operativo;<ref>{{Cita web|url=https://betanews.com/2018/01/08/microsoft-meltdown-spectre-patch-bricks-amd-pcs/|título=Warning: Microsoft's Meltdown and Spectre patch is bricking some AMD PCs|fechaacceso=9 de enero de 2018|sitioweb=betanews.com|idioma=en}}</ref><ref>{{Cita noticia|apellidos=Tung|nombre=Liam|título=Windows Meltdown-Spectre update: Some AMD PC owners post crash reports {{!}} ZDNet|url=http://www.zdnet.com/article/windows-meltdown-spectre-update-now-some-amd-pc-owners-post-crash-reports/|fechaacceso=9 de enero de 2018|periódico=ZDNet|idioma=en}}</ref> el problema parece afectar en particular a las computadoras con procesadores de la gama [[AMD Athlon]].<ref>{{Cita noticia|apellidos=Brown|nombre=Aaron|título=Windows 10 WARNING: Some users unable to boot PCs after emergency Meltdown-Spectre patch|url=https://www.express.co.uk/life-style/science-technology/901872/Windows-10-Unable-To-Start-Up-Meltdown-Spectre-Patch-AMD-Athlon|fecha=8 de enero de 2018|fechaacceso=9 de enero de 2018|periódico=Express.co.uk|idioma=en|cita=According to the complaints, it appears the problems are most prevalent in AMD Athlon systems [...]}}</ref> El 9 de enero de 2018, Microsoft detuvo la distribución de la actualización para los sistemas con las CPU afectadas mientras investigaban cómo solucionar este fallo.<ref name="msamdissue-zdnet"/>
Por otro lado, el 18 de enero de 2018 se supo de problemas con reinicios indeseados tras la instalación de los parches para Meltdown y Spectre, afectando incluso a los chips más recientes de Intel.<ref name="ZDN-20180118">{{cite web |last=Tung |first=Liam |title=Meltdown-Spectre: Intel says newer chips also hit by unwanted reboots after patch - Intel's firmware fix for Spectre is also causing higher reboots on Kaby Lake and Skylake CPUs. |url=http://www.zdnet.com/article/meltdown-spectre-intel-says-newer-chips-also-hit-by-unwanted-reboots-after-patch/ |date=18 de enero de 2018 |work=[[ZDNet]] |accessdate=18 de enero de 2018 |language=en}}</ref> Según [[Dell]]: "''No se ha tenido constancia hasta la fecha (26 de enero de 2018) de que estas vulnerabilidades hayan sido puestas en práctica en el mundo real, a pesar de que los investigadores han publicado pruebas de concepto''".<ref name="DELL-20180126a" /><ref name="DELL-20180126b" /> Asimismo, entre las medidas preventivas recomendadas citan "''instalar de inmediato las actualizaciones de software a medida que se publiquen, evitar seguir enlaces a sitios desconocidos, no descargar archivos o aplicaciones de fuentes desconocidas... seguir los protocolos de seguridad a la hora de usar contraseñas seguras... (usar) software de seguridad para ayudar a protegerse del [[malware]] (programas avanzados de prevención de amenazas, o antivirus)''".<ref name="DELL-20180126a" /><ref name="DELL-20180126b" />
El 25 de enero de 2018 se presentó un informe sobre el estado actual así como de las posibles consideraciones a tomar de cara al futuro con el fin de resolver las vulnerabilidades Meltdown y Spectre.<ref name="PC-20180125" />
{| class="wikitable"
Línea 183 ⟶ 187:
* [https://github.com/IAIK/meltdown Prueba de concepto publicada por los mismos investigadores que publicaron la documentación de Meltdown]
{{Traducido ref|en|Meltdown (security vulnerability)|oldid=
[[Categoría:Problemas de seguridad informática]]
| |||