Detectado un grave fallo en procesadores Intel cuya solución pasa por ...

[B€T€B€]

Según tengo entendido (como alguien ya ha dicho) hay dos vulnerabilidades distintas.
Una afecta sólo a los procesadores intel y la otra a todos los procesadores (arm incluido).

La buena noticia (desde mi punto de vista) es que para realizar el hackeo es necesario acceso físico al ordenador o la instalación de software malicioso.

Con lo cual hay nada nuevo sobre el planeta...

Es más, mucha gente opina que es una estrategia comercial para vender más...

[#!drvy]

La buena noticia (desde mi punto de vista) es que para realizar el hackeo es necesario acceso físico al ordenador o la instalación de software malicioso.

Segun he podido leer, ha sido explotada via javascript.. lo cual deja a todos al descubierto.

https://www.genbeta.com/seguridad/meltdown-y-spectre-mozilla-confirma-que-es-posible-un-ataque-basado-en-javascript

Saludos

[MCKSys Argentina]

Hola!

Para los que no les gusta leer papers, una explicación más sencilla de los 2 bugs: https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/

Saludos!

[Serapis]

Linux Torvalds, les ha dado un buen rapapolvo a los tontainas de Intel... y es que no es para menos...


https://lkml.org/lkml/2018/1/3/797

Yo insisto, en que (algunos de ellos) son agujeros dejados ahí a propósito, por imposición del gobierno 'usasense'...
Hasta hace unos años, podían pasar desapercibidos, hoy día se mira todo con lupa (lo cual es lo correcto, no confiar en ninguna empresa, me cansan esos usuarios ciegos por tal o cual marca, sin reconocer sus defectos)...


Para descargar los papers y 'FAQs' genéricas al respecto: https://meltdownattack.com/

[B€T€B€]

Segun he podido leer, ha sido explotada via javascript.. lo cual deja a todos al descubierto.

https://www.genbeta.com/seguridad/meltdown-y-spectre-mozilla-confirma-que-es-posible-un-ataque-basado-en-javascript

Saludos

¿En ese caso con tener el navegador actualizado no es suficiente?

[B€T€B€]

¿En ese caso con tener el navegador actualizado no es suficiente?

¿Qué opinaís?

[Serapis]

¿Qué opinaís?

No. No es suficiente, el problema es del procesador, no del navegador, el navegador a lo sumo puede complicarlo. Puedes eso sí desactivar javascript, pero es que es prácticamente imposible moverse por la red hoy día sin javascript, florece como los hongos... Pero al desactivarlo en el mejor de los caso, muchos scripts no podrán ejecutarse (por ejemplos ver vídeos), en el peor ni siquiera logras que aparezca la página si dicha página está basada de principio a fin en javascript...

Solución efectiva no ahí... de momento, lo que he leído que están haciendo parches (software), para separar el área de memoria restringida en el Kernel, en 2, dejando fuera el área del usuario... todo ello (según se realice) puede conllevar mucha sobrecarga al tener que estar cargando y descargando zonas concretas... puede haber pérdidas de rendimiento o no, ya veremos como lo resuelven a nivel S.O. Piensa que una solución a nivel del S.O. no puede aceptarse como una solución real, el S.O. no puede cubrir con igual eficacia, un asunto que realmente compete al procesador. Una intrusión en un equipo, podría explotar la vulnerabilidad 'deshaciendo' los cambios aplicados por el S.O.  por eso digo que no es una solución real, solo un parche... vamos como pegar un chicle bajo e depósito de gasolina de un vehículo en medio del desierto... un parche, valdrá para muchos, pero no para todos.

La solución definitiva, creo que jamás llegará, porque eso supone un remplazo del procesador... y ... ¿quién cree que Intel, AMD, etc... van a cambiar casi todos los procesadores del planeta???... en realidad deberían, son productos defectuosos de fábrica... pero tocará 'ajo y agua', y 'contentos' si el S.O. logra sacar algo eficaz para tu versión...