Las revelaciones de que las fallas de seguridad en los chips que alimentan PC, laptops, servidores, teléfonos y otros dispositivos han pasado desapercibidas durante años han puesto frenéticos a los reparadores de errores y a los expertos en seguridad.
Las fallas, que los investigadores han denominado en código Meltdown y Spectre, se relacionan con la forma en que una CPU maneja las tareas que cree que su PC deberá realizar en el futuro, lo que se conoce como ejecución especulativa. Según el equipo de seguridad de Project Zero de Google, en el peor de los casos, las fallas podrían explotarse para obtener información confidencial de estos comandos en espera.
La buena noticia es que ya se implementaron algunos parches, pero la mala noticia es que debido a que muchas empresas están involucradas, desde fabricantes de chips hasta fabricantes de PC y empresas de sistemas operativos, determinar si su computadora está completamente protegida no es sencillo. Por ahora, hay algunos cursos de acción separados a seguir para fortalecer su dispositivo, según el sistema operativo que tenga. Luego está el paso adicional de actualizar los navegadores web y otros programas, que todo usuario de computadora debe hacer, independientemente del sistema operativo.
Resumen
Para ventanas
Microsoft ha lanzado una actualización de seguridad acumulativa que ofrece protección a nivel de software contra la ejecución especulativa, que debería implementarse automáticamente en los sistemas que ejecutan Windows 10. Para asegurarse de que su computadora esté actualizada, abra el menú Inicio, haga clic en el ícono de ajustes para abrir Configuración y haga clic en Actualización de Windows. Los números de parche para las correcciones de Microsoft se pueden encontrar aquí.
Microsoft señala que las mitigaciones pueden ralentizar su computadora, más notablemente para los sistemas que ejecutan chips Intel más antiguos de 2015 y anteriores.
Si bien la protección que ofrece este parche es un buen primer paso, su PC con Windows no estará completamente protegida hasta que también se aplique una actualización de firmware. La disponibilidad de dicha actualización depende de la empresa que fabricó su PC, así como del fabricante del chip (Intel o AMD). Intel ha lanzado parches para la familia de procesadores Core más reciente de la séptima y octava generación. Puede consultar la lista de Intel (actualizada al 20 de febrero) para determinar si su procesador tiene una actualización. Si hay una actualización disponible, consulte con el fabricante de su sistema para obtener información sobre cómo instalarla.
AMD ha implementado sus propias soluciones para los fabricantes, pero también ha minimizado la amenaza. El CTO de AMD, Mark Papermaster, dijo originalmente que existe un «riesgo casi nulo para los usuarios de AMD». Sin embargo, la compañía reconoció más tarde que el error de Spectre afecta a sus chips.
Los propietarios de computadoras portátiles y convertibles Surface obtendrán esas actualizaciones aplicadas automáticamente a través de Windows Update una vez que hayan terminado, según Microsoft. Si posee un sistema de otra empresa, es posible que deba buscar actualizaciones de firmware mediante una utilidad independiente, como Lenovo Solution Center o Dell Update.
Otra cosa a tener en cuenta: no todas las PC con Windows recibieron inicialmente los parches. Esto se debe a que las correcciones pueden chocar con cierto software antivirus y causar errores graves. Microsoft está trabajando para solucionar el problema. Puede encontrar más información aquí.
Algunos procesadores AMD más antiguos también son incompatibles con el parche de Microsoft y, como resultado, no han recibido la corrección.
Para sistema operativo Chrome
El sistema operativo de Google, que se encuentra principalmente en computadoras portátiles económicas, está protegido contra la vulnerabilidad en la versión 64 y posteriores.
Para Android
El nivel de parche de seguridad de Android 2018-01-05 es la primera solución para la ejecución especulativa. Los teléfonos Pixel de Google lo recibirán automáticamente, mientras que los propietarios de otros dispositivos Android están a merced de los fabricantes de sus dispositivos y los proveedores de servicios inalámbricos, que deciden cuándo se implementan las actualizaciones.
Para Mac OS e iOS
Para abordar la vulnerabilidad de Meltdown, Apple comenzó a implementar parches a través de actualizaciones de iOS, macOS y tvOS a partir de diciembre. Lanzó otro parche el 1 de enero. 8. Afortunadamente, las correcciones dieron como resultado «ninguna reducción medible en el rendimiento de macOS e iOS «, dijo la compañía en un comunicado.
Sin embargo, Apple aún está desarrollando futuras medidas de seguridad basadas en el sistema operativo que abordarán la vulnerabilidad de Spectre.
Mientras espera que Windows Update termine de funcionar o que el fabricante de su PC emita una corrección de firmware, aún puede proteger su actividad en línea de la exposición a la vulnerabilidad de ejecución especulativa fortaleciendo su navegador web.
Los usuarios de Google Chrome pueden habilitar Site Isolation, una función de seguridad experimental en el navegador web Chrome que brinda protección contra muchos tipos diferentes de malware, incluida la ejecución especulativa. Mientras tanto, Microsoft Edge y Mozilla Firefox se han actualizado para aumentar el tiempo que lleva ejecutar ciertos comandos de Java, lo que debería mitigar el problema, según una publicación de blog de Mozilla. Las actualizaciones de Edge se incluyen en un parche de seguridad de Microsoft, mientras que los usuarios de Firefox pueden hacer clic en Acerca de Firefox en el menú Ayuda para ver su estado de actualización.
Apple tiene su propia solución para el navegador Safari que se incluye en la actualización del 1 de enero. 8 parches. Según las pruebas comparativas de la empresa, el parche tiene poco o ningún impacto medible en el rendimiento del navegador, dijo la empresa.
ACTUALIZACIÓN 1/8: Artículo actualizado con Correcciones de seguridad de Intel y Apple para Spectre y Meltdown.
ACTUALIZACIÓN 1/12: Artículo actualizado con nueva información de Intel, AMD y Microsoft.
ACTUALIZACIÓN 21/02: Artículo actualizado con nueva información de Intel.
