Necesitamos mejores parches, Chrome, Edge y Safari siguen siendo vulnerables a Spectre

Han pasado más de seis meses, pero la crisis de los procesadores causada por las vulnerabilidades Meltdown y Spectre sigue siendo un problema. A Intel le ha costado varios intentos mitigar los fallos en sus chips. Con Windows, Microsoft sufrió por los reinicios y pantallazos azules que causaron, y para Linus Torvalds, al menos los parches de Intel eran una completa basura.

Y ahora, henos aquí, meses después investigadores de seguridad han probado que las mitigaciones para Spectre en múltiples navegadores web pueden ser vulneradas, específicamente en Google Chrome, Edge y Safari.

Esto quiere decir que a pesar de los parches que se aplicaron para mitigar la vulnerabilidad, aún es posible recupera datos confidenciales de la memoria protegida de estos navegadores.

Un vistazo a…
13 TRUCOS de GOOGLE CHROME que probablemente no conocías

Firefox está a salvo

Quizás lo recuerden o no, pero fue Mozilla la que confirmó que en los navegadores era posible un ataque basado en JavaScript aprovechando Spectre, específicamente Spectre v1, la única variable que podía ser explotada a través de un navegador. Y todavía se puede explotar, aunque no en Firefox.

Los investigadores lograron sobrepasar cuatro de las cinco mitigaciones implementadas en los parches para lidiar con Spectre, y han subido la prueba de concepto a GitHub. A pesar de tener éxito replicando esto en Edge, Safari y Chrome, en Firefox no es posible debido a que Mozilla usó un tipo de mitigación diferente en su navegador.

Aún se pueden robar los datos de Edge, Chrome y Safari, solo que a una velocidad muy lenta.

Si un atacante se aprovecha de esto, puede robar información como lo que comparten las páginas y procesos en el navegador, contraseñas guardadas, cookies y más. Aunque a una velocidad muy lenta, pues los parches sirven aparentemente solo para reducir muy drásticamente la velocidad a la que se puede acceder a los datos, pero no previene que se pueda acceder a ellos de todas formas.

Y, recordemos que cada vez más malware busca explotar estas vulnerabilidades. Lo dicen los investigadores, y lo pensamos todos: necesitamos mejores parches.

En Genbeta | Estados Unidos quiere que Google, Apple y Microsoft expliquen por qué mantuvieron Meltdown y Spectre en secreto por tanto tiempo

Ver todos los comentarios en https://www.genbeta.com

VER 6 Comentarios

Portada de Genbeta