El fabricante de hardware Intel emitirá el día de hoy una docena de alertas de seguridad para sus productos, incluidos los detalles sobre dos nuevas vulnerabilidades en sus CPUs similares a Spectre que permitirían a un hacker filtrar datos desde tu PC.

Este paquete de avisos forma parte del esfuerzo del gigante de los procesadores para informar a los usuarios trimestralmente sobre sus actualizaciones. En vez de notificar irregularmente y ‘por sorpresa’ cada vez que se produce una vulnerabilidad o error de seguridad, Intel está adoptando una rutina similar a la de los parches de seguridad que mensualmente publica Microsoft.

Los fabricantes de placas base, de ordenadores y desarrolladores de Intel recibirán antes que los usuarios sobre las actualizaciones de seguridad trimestrales antes de que se hagan públicas. Por ejemplo, los parches que han sido lanzados el día de hoy, fueron compartidos en el mes de marzo con los fabricantes, lo que les da la posibilidad de prepararse para implementar soluciones a los clientes.

Con respecto a las nuevas vulnerabilidades similares a Spectre, un equipo de investigadores liderado por Vladimir Kiriansy, del Instituto Tecnológico de Massachusetts (MIT, por sus siglas en inglés), y Carl Waldspurger, de la firma Carl Waldspurger Consulting, reveló el fallo.

Las nuevas variantes de Spectre llegan casi un mes después de que los expertos de Google y Microsoft revelaron la Specter Variant 4, que afectaba a las CPU recientes de millones de ordenadores en todo el mundo, incluyendo los comercializados por Apple.

Hackers continúan explotando error crítico en WinRAR revelado el mes pasado

En el caso de la primera variante, llamada Spectre 1.1, esta aprovecha las reservas especulativas para crear desbordamientos de búfer especulativos. En este sentido, un hacker que escriba y ejecute malware podría sustraer los datos de la memoria de la CPU, incluyendo las contraseñas, claves criptográficas y otro tipo datos sensibles.

La variante Spectre 1.2 depende de la aplicación PTE, el mismo mecanismo en que se basa la explotación de la vulnerabilidad de Meltdown, revelada a principios de este año. Este fallo permitiría a un hacker eludir las barreras de lectura y escritura de PTE, lo que dará la posibilidad de sobrescribir la memoria de datos de ‘solo lectura’, los metadatos del código y los indicadores de código para evitar las ‘sandoboxes’.

Compañías como Oracle y Microsoft también emitieron advertencias de seguridad, afirmando que todavía investigan si alguno de sus productos es vulnerable a estas nuevas variantes. Como agradecimiento por reportar las nuevas vulnerabilidades, Intel pagó a Kiriansky y Waldspurger la suma de US$ 100,000 a través de su programa de recompensas por fallos.

Más en TekCrispy