Apple confirma que todas las Mac y dispositivos iOS se ven afectados por Meltdown y Spectre Security Vulnerabilities

Apple ha emitido un documento de soporte que confirma que todos los Mac y dispositivos iOS se ven afectados por dos vulnerabilidades de seguridad graves conocidas como Meltdown y Spectre

Apple ha emitido un documento de soporte que confirma que todos los Mac y dispositivos iOS se ven afectados por dos vulnerabilidades de seguridad graves conocidas como Meltdown y Spectre. Las correcciones para Meltdown ya se han implementado en iOS 11.2, macOS 10.13.2 y tvOS 11.2. Se lanzarán mitigaciones para Spectre en los próximos días.

Los investigadores de seguridad descubrieron recientemente problemas de seguridad conocidos por dos nombres, Meltdown y Spectre. Estos problemas se aplican a todos los procesadores modernos y afectan a casi todos los dispositivos informáticos y sistemas operativos. Todos los sistemas Mac y dispositivos iOS se ven afectados, pero no hay exploits conocidos que impacten a los clientes en este momento. Dado que la explotación de muchos de estos problemas requiere la carga de una aplicación maliciosa en su dispositivo Mac o iOS, recomendamos descargar solo el software de fuentes confiables, como App Store. Apple ya ha lanzado mitigaciones en iOS 11.2, macOS 10.13.2 y tvOS 11.2 para ayudar a defenderse contra Meltdown. Apple Watch no se ve afectado por Meltdown. En los próximos días planeamos liberar mitigaciones en Safari para ayudar a defendernos de Spectre. Continuamos desarrollando y probando mitigaciones adicionales para estos problemas y los lanzamos en próximas actualizaciones de iOS, macOS, tvOS y watchOS.

Apple explica que Meltdown y Spectre aprovechan una característica de rendimiento de la CPU llamada ejecución especulativa.

La ejecución especulativa mejora la velocidad operando en múltiples instrucciones a la vez, posiblemente en un orden diferente al que ingresaron a la CPU. Para aumentar el rendimiento, la CPU predice qué ruta de una rama es más probable que se tome, y continuará especulativamente la ejecución por esa ruta, incluso antes de que se complete la bifurcación. Si la predicción fue incorrecta, esta ejecución especulativa se retrotrae de una manera que pretende ser invisible para el software.

Meltdown y Specter abusan de la ejecución especulativa para acceder a la memoria privilegiada, incluida la kernel, desde un proceso de usuario menos privilegiado.

Apple dice que sus arreglos de Meltdown no han mostrado una reducción medible en el rendimiento de macOS e iOS medido por el benchmark GeekBench 4, o en puntos de referencia de navegación web comunes como Speedometer, JetStream y ARES-6. Para Spectre, las correcciones de Apple tuvieron un impacto de menos del 2.5% en el índice de referencia de JetStream y no se demostraron impactos mensurables en las pruebas de velocímetro y ARES-6.

Se dice que las soluciones para Meltdown y Spectre tienen un impacto mucho mayor en los dispositivos Linux y Windows con un informe reciente que afirma que los usuarios podrían ver un 5% - 30% de impacto en el rendimiento.