Según los informes, un equipo de investigadores de seguridad descubrió un total de ocho nuevas vulnerabilidades del “tipo Specter” en las CPU Intel, que también afectan al menos a un pequeño número de procesadores ARM y también pueden afectar a los procesadores de AMD.
Denominado Specter-Next Generation, o Specter-NG, los detalles parciales de las vulnerabilidades fueron filtrados por primera vez a los periodistas en la revista alemana Heise, que afirman que Intel clasificó cuatro de las nuevas vulnerabilidades como “de alto riesgo” y las restantes cuatro como “de riesgo medio”.
Estos nuevos fallos de las CPU, provienen del mismo problema de diseño que causó el defecto original de Spectre, pero el informe afirma que uno de los defectos descubiertos recientemente permite a los atacantes con acceso a una máquina virtual (VM) apuntar fácilmente al sistema host, lo que hace potencialmente vuelve más peligroso esta nueva vulnerabilidad que el Spectre original.
Según lo reportado en la revista alemana:
Alternativamente, se podría atacar a las máquinas virtuales de otros clientes que se ejecutan en el mismo servidor. Las contraseñas y las claves secretas para la transmisión segura de datos son objetivos muy solicitados en los sistemas en la nube y están en grave peligro debido a esta brecha de seguridad.
Sin embargo, la vulnerabilidad de Specter-NG antes mencionada se puede explotar con bastante facilidad para ataques a través de los límites del sistema, elevando el potencial de amenaza a un nuevo nivel. Los proveedores de servicios en la nube como Amazon o Cloudflare y por supuesto, sus clientes se ven particularmente afectados.
Si se ha enterado aún, la vulnerabilidad Specter, que se informó a principios de este año, depende de un ataque de canal lateral en el motor de ejecución especulativa de un procesador, permitiendo que un programa malicioso lea información sensible, como contraseñas, claves de cifrado o información confidencial, incluidos en el espacio de kernel.
Aunque el sitio alemán no reveló el nombre de los investigadores de seguridad (o el equipo/compañía) que informaron sobre estas fallas en procesadores Intel, reveló que una de las debilidades fue descubierta por un investigador de seguridad en el Proyecto Zero de Google.
El sitio también afirmó que el investigador de seguridad de Google informó del error a los fabricantes de chips hace casi 88 días, lo que indica que el investigador posiblemente revelaría los detalles de al menos una fallas el día de hoy 7 de mayo, cuando se cerrará la ventana de revelación de 90 días, que es el día antes del Windows Patch Tuesday, que cuándo Microsoft envia sus actualizaciones de seguridad a sus usuarios.
Revelar responsablemente las vulnerabilidades de Spectre-NG a los proveedores es definitivamente una buena práctica, pero parece que los investigadores, que descubrieron la nueva serie de defectos del tipo Spectre, evitan que sus nombres salgan temprano, tal vez para evitar una crítica de los medios similar a la que enfrentó CTS Labs después de que revelaron detalles parciales de fallas de seguridad en los procesadores AMD con un sitio web dedicado, hermosos gráficos y videos explicando las fallas.