Spectre V4 es la nueva vulnerabilidad de lo que ya empieza a convertirse en uno de los mayores escándalos de la historia de la informática y el diseño de los procesadores. Cada cierto tiempo tenemos constancia de un nuevo problema de seguridad. En este caso, afecta a una característica del almacenamiento especulativo que utilizan los procesadores tanto de Intel, como de AMD o ARM.

Spectre v4, la nueva vulnerabilidad publicada de los procesadores Intel, AMD y ARM

Cada vez que conocemos la existencia de una nueva vulnerabilidad de este tipo, la credibilidad de los fabricantes de procesadores cae en picado. Estamos ante la cuarta variante de Spectre y algo nos dice que no va a ser la última en salir a la luz. Como hemos dicho, afecta a una característica que afecta a las diferentes arquitecturas utilizadas por Intel, AMD y ARM llamada buffer de almacenamiento especulativo.

Esta nueva variante de la vulnerabilidad Spectre se puede ejecutar en remoto desde el propio navegador y permite al atacante el acceso a datos sensibles del sistema. Es posible gracias a que se puede acceder al buffer de almacenamiento especulativo, haciendo creer al procesador que se está “leyendo” desde una parte diferente. Básicamente, el atacante puede conseguir desde direcciones de correo a contraseñas o tarjetas de crédito.

En el vídeo superior vemos el aprovechamiento de la vulnerabilidad en menos de 3 minutos. Por suerte, todo indica a que Spectre v4 todavía no ha sido utilizada para realizar ataques contra los usuarios. Sin embargo, los fabricantes ya han emitido los correspondientes boletines de alerta y ahora toca esperar el desarrollo y lanzamiento de los parches.

Los parches incorporarán la protección contra Speculative Store Bypass (así se conoce la vulnerabilidad en inglés), pero desactivado por defecto. En caso de activarlo, se estima que habrá una caída en el rendimiento del sistema de entre el 2% y el 8% dependiendo del procesador. En este caso, tendremos que elegir entre seguridad y protección contra rendimiento.

 

Fuente: adslzone