Actualización a las 6:03 pm ET: Apple publicó un Pagina de soporte con instrucciones sobre cómo deshabilitar Hyper-Threading para proteger completamente su Mac de ZombieLoad, pero advirtió que hacerlo podría disminuir el rendimiento hasta en un 40%. Para más información, lee nuestra guia sobre cómo deshabilitar la función.

Es muy probable que su computadora portátil funcione con una CPU Intel. Si es así, deberá actualizar su computadora inmediatamente, después de un clase de vulnerabilidades se descubrió que permite a los atacantes robar datos directamente de su procesador.

El llamado error ZombieLoad y tres vulnerabilidades relacionadas fueron descubiertos por algunos de los mismos investigadores que trajeron la crítica Spectre y Meltdown defectos en el centro de atención, y comparte muchas similitudes con esos errores.

ZombieLoad y sus parientes afectan a todos los procesadores Intel fabricados desde 2011, lo que significa que todos MacBooks, y una gran mayoría de PC con Windows, la mayoría de los servidores Linux e incluso muchos Chromebooks están en la mira. Los errores incluso se pueden usar en máquinas virtuales en la nube. Pero los chips AMD y ARM no parecen afectados por estos últimos defectos.

Crédito: Intel
(Crédito de la imagen: Intel)

Intel, que llama a este conjunto de defectos Muestreo de datos de microarquitectura, o MDS, dice seleccionar 8th Gen y 9th Las CPU Gen ya están protegidas contra la falla, y todas las CPU futuras incluirán mitigación de hardware. (Los investigadores que descubrieron las fallas no están de acuerdo con Intel e insisten en que esos chips aún están afectados).

"El muestreo de datos de microarquitectura (MDS) ya se aborda a nivel de hardware en muchos de nuestros últimos 8 y 9 Procesadores Intel® Core ™ de generación, así como la familia de procesadores escalables Intel® Xeon® de segunda generación ", dijo Intel en un Declaración oficial.

Cómo funcionan los ataques

Como Spectre, Meltdown y varias otras fallas descubiertas desde entonces, estos cuatro nuevos ataques distintos, llamados ZombieLoad, Fallout, RIDL y Store-to-Leak Forwarding, explotan debilidades en una función ampliamente utilizada llamada "ejecución especulativa", que se utiliza para ayudar a un procesador a predecir qué necesitará una aplicación o programa a continuación para mejorar actuación.

El procesador especula, o intenta adivinar, qué solicitudes de operaciones recibirá en un futuro próximo (es decir, los próximos milisegundos). El procesador realiza, o ejecuta, esas operaciones antes de que se soliciten para ahorrar tiempo en el momento en que se realizan las solicitudes.

El problema es que al realizar operaciones antes de que sean realmente necesarias, las CPU colocan los resultados de esas operaciones, es decir, datos, en sus propios cachés de memoria a corto plazo. De varias maneras, Spectre, Meltdown y estos últimos cuatro defectos permiten a los atacantes leer esos datos directamente desde las memorias caché del procesador. Hay un desglose técnico de los cuatro nuevos ataques. aquí.

Alarmante video de prueba de concepto muestra cómo se puede ejecutar el exploit ZombieLoad para ver qué sitios web está viendo una persona en tiempo real. Las vulnerabilidades también abren la puerta para que los atacantes obtengan contraseñas, documentos confidenciales y claves de cifrado directamente desde una CPU.

"Es como si tratamos a la CPU como una red de componentes, y básicamente escuchamos a escondidas el tráfico entre ellos". Cristiano Giuffrida, investigador de la Vrije Universiteit Amsterdam que formó parte de los equipos que descubrieron el MDS ataques le dijo a Wired. "Escuchamos cualquier cosa que intercambien estos componentes".

Crédito: Michael Schartz / Twitter
(Crédito de la imagen: Michael Schartz / Twitter)

Actualizar ahora mismo

Hay algunas buenas noticias. Intel, Apple, Google y Microsoft ya emitió parches para corregir los defectos. También lo han hecho muchos fabricantes de distribuciones de Linux. Pero no estará fuera de peligro hasta que haya actualizado todos sus dispositivos basados ​​en Intel y sus sistemas operativos, lo que recomendamos encarecidamente que lo haga de inmediato. Lea nuestra guía sobre cómo verificar actualizaciones en tu Mac o siga estos pasos para actualizar su PC con Windows 10.

Intel admitió que los parches de seguridad afectarán el rendimiento de la CPU hasta en un 3% en los dispositivos de consumo y hasta en un 9% en las máquinas del centro de datos, y Google está deshabilitando Hyper-Threading (un método que divide los núcleos para aumentar el rendimiento) en Chrome OS 74 para mitigar los riesgos de seguridad. Pero no dejes que eso te disuada de forzar manualmente la actualización.
Apple publicó un Pagina de soporte explicando que la única forma de mitigar completamente la falla es deshabilitar el hiperproceso, pero que al hacerlo, corre el riesgo de disminuir el rendimiento del sistema en un asombroso 40%, según las pruebas internas. La mayoría de las personas no necesitarán tomar medidas tan extremas para proteger sus computadoras, pero es posible que ciertos usuarios en riesgo, como empleados gubernamentales y ejecutivos de empresas, quieran tomar la precaución. Si pertenece a estos grupos o desea una mayor tranquilidad, lee nuestra guia sobre cómo deshabilitar Hyper-Threading en macOS (para Mojave, High Sierra y Sierra).

Línea de fondo

Desafortunadamente, los investigadores creen que las vulnerabilidades relacionadas con la ejecución especulativa seguirán apareciendo en el futuro. Solo podemos cruzar los dedos para que estos defectos se solucionen rápidamente, pero una vez que lo estén, depende de usted asegurarse de que todos sus dispositivos se hayan actualizado a las versiones más recientes y seguras.

  • ¿Qué software antivirus tiene el menor impacto en el sistema?
  • Cómo comprar software antivirus
  • Software antivirus: revisiones de versiones gratuitas y de pago

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.