Los investigadores de seguridad de Google y Microsoft han encontrado una nueva variante de la falla de seguridad fantasma que primero fue divulgado detrás en enero este año.
Rumores de que el error de CPU más reciente fueron divulgados por una publicación de ciencia de computadora alemán a principios de este mes, pero los detalles de la vulnerabilidad sólo oficialmente fueron revelados el lunes, 21 de mayo.
Denominados especulativa tienda puente (variante 4), la nueva cepa explota vulnerabilidades similares como el fantasma más viejo y colapso de bugs pero, según Intel, utiliza un método diferente para acceder a información sensible.
En parte parcheado
La nueva variante puede ser explotada mediante la ejecución de secuencias de comandos de archivos (o archivos de texto que contienen una secuencia de comandos) en programas como navegadores web. Si los hackers consiguen aprovechar con éxito esta vulnerabilidad, será capaces de obtener información confidencial de otras partes del programa, como otra pestaña en el caso de los navegadores.
Intel, sin embargo, ha clasificado el nuevo error como riesgo medio, explicando en un blog post que la mayoría de las hazañas que utiliza se fijaron en la onda original de parches que fueron rodados hacia fuera.
“Hemos entregado ya la actualización del microcódigo para 4 variante en forma de beta para fabricantes de sistemas de OEM y proveedores de software de sistema, y esperamos que será lanzado en producción BIOS y actualizaciones de software en las próximas semanas,” dijo el Vicepresidente de Intel de Aseguramiento de producto y de seguridad.
Frenar hacia abajo
Como vimos con los parches anteriores de espectro y fusión, estas nuevas versiones de firmware del procesador podrían potencialmente reducir el rendimiento del sistema también. Intel dice que las mitigaciones hará “ajustarse a off por defecto”, usuarios de significado que no permitan que las nuevas protecciones no sufra el impacto negativo del parche, pero obviamente no serán protegido bien.
“Si se activa, hemos observado que un impacto en el rendimiento de aproximadamente el 2-8% basado en puntuaciones generales de puntos de referencia como índice entero SYSmark 2014 SE y espec en cliente 1 y servidor 2 prueba sistemas,” dijo Culbertson.
Esto pone la proverbial bola en cancha del usuario final, dejándolos elegir entre seguridad y velocidad