CSIRT Panamá Aviso 2018-4 – Meltdown y Spectre vulnerabilidad en el hardware de la CPU.

TOPICS:alertas avisos avisos de seguridad Vulnerabilidad vulnerabilidades

Posted By: CSIRT Panamá January 4, 2018

CSIRT Panamá Aviso 2018-4 – Meltdown y Spectre vulnerabilidad en el hardware de la CPU.
Gravedad: Crítica
Fecha de publicación: 4 enero 2018
Fecha de modificación: 4 enero 2018
Última revisión: Revisión A.
Fuente: googleprojectzero.blogspot.com

Sistemas Afectados
a. Intel
b. AMD
c. ARM

I. Descripción
Diversas implementaciones de CPU con Intel, AMD y ARM son vulnerables a ataques de día – 0 de tipo canal lateral (side-channel attack) que afectan en un modo la ejecución de instrucciones del procesador (ejecución especulativa), que posibilita la lectura de zonas de memoria reservada del Kernel, siendo afectado los sistemas operativos y dispositivos que hacen uso del microprocesador. Las vulnerabilidades llamadas Meltdown para los procesadores en Intel y Spectre para los procesadores de AMD y ARM, es un problema de diseño en donde permite que privilegios bajos (aplicaciones de usuario convencionales) pueden acceder a la memoria del kernel del sistema operativo.

Dicha vulnerabilidad es proporcionada por un grupo de investigadores de seguridad llamado Project Zero deGoogle, Universidad de Tecnología de Graz, Universidad de Pennsylvania, Universidad de Adelaida en Australia y grupo de seguridad de Cyberus y Rambus.

Las vulnerabilidades se presenta en las variantes (CVE-2017-7515 / CVE-2017-5753 / CVE-2017-5754), donde están presentes en diversos sistemas como ordenadores personales, dispositivos móviles y en servidores.

No se tiene una solución definitiva ante esta vulnerabilidad de día -0, pero las distintas empresas de tecnologías hace pronunciaciones para
buscar la solución o mitigación.

III. Referencia a soluciones, herramientas e información
a. https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
b. https://blog.segu-info.com.ar/2018/01/meltdown-y-spectre-pesadilla-en-la.html
c. https://meltdownattack.com/meltdown.pdf
d. https://spectreattack.com/spectre.pdf
e. https://www.certsi.es/alerta-temprana/avisos-seguridad/vulnerabilidades-criticas-multiples-cpus-meltdown-y-spectre

IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa

S	M	T	W	T	F	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30