Gravedad: alta
Las vulnerabilidades, que han sido descubiertas por diferentes investigadores, permiten llevar a cabo tres tipos de ataques, bautizados como ZombieLoad, RIDL (Rogue In-Flight Data Load) y Fallout. Estos ataques permitirían extraer cualquier tipo de datos almacenados en la memoria caché de la CPU en tiempo casi real, y con ello, obtener información privada de los usuarios que hayan utilizado o accedido recientemente, como pueden ser contraseñas, tokens de sesión, claves secretas o mensajes privados.
Recursos afectados:
Están afectados por estas vulnerabilidades todos aquellos equipos que tengan un procesador Intel fabricado desde 2011. Puedes consultar el listado completo de productos afectados en este enlace.
Solución:
Intel ha publicado un listado de los productos afectados en los que se indica las actualizaciones de seguridad disponibles y planificadas (ver el enlace más arriba).
Los desarrolladores de los principales sistemas operativos, navegadores, productos y servicios en la nube han publicado información y actualizaciones para subsanar estos problemas.
- Microsoft: Ha lanzado actualizaciones de seguridad para sus sistemas operativos y servicios en la nube, las cuales ya están disponibles y se pueden instalar mediante Windows Update.
- Apple: Ha lanzado este lunes una actualización para macOS Mojave (10.14.5) la cual corrige las vulnerabilidades para todos los Mac y MacBook fabricados desde el año 2011, impidiendo que el ataque se ejecute desde Safari u otras aplicaciones. Está planeada una actualización para las versiones Sierra y High Sierra. Los dispositivos iPhone, iPad y Apple Watch no están afectados.
- Google: Según el fabricante, la mayoría de dispositivos Android no están afectados, salvo aquellos dispositivos que hagan uso de procesadores Intel que deberán ser actualizados cuando los desarrolladores de los dispositivos publiquen los parches de seguridad (consulta con el fabricante de tu dispositivo para saber si tu móvil puede estar afectado). El sistema operativo Chrome OS, empleado en los Chromebooks, se encuentra protegido en su última versión. En el caso del navegador Chrome, desde el equipo encargado indican que no es necesario actualizar el navegador ya que estas vulnerabilidades son corregidas por los parches publicados por los desarrolladores de hardware y por los sistemas operativos.
- Mozilla: Ha desarrollado una mitigación de la vulnerabilidad, estará disponible a partir del 21 de mayo partir en la versión 67 de Firefox.
|
