Procesadores Intel podrían tener un enorme fallo de seguridad

Hay pequeñas y grandes equivocaciones. En este caso, se da una enorme: virtualmente, todos los procesadores Intel producidos en la última década tienen un gran agujero de seguridad que podría autorizar “en programas de usuario ordinarios -desde aplicaciones de bases de datos hasta JavaScript en navegadores web- discernir en cierta medida el diseño o contenido de la memoria kernel en áreas protegidas”, según The Resgister.

Esencialmente, los procesadores Intel modernos tienen un defecto de diseño que podría permitir que los programas maliciosos lean áreas protegidas de la memoria kernel de un dispositivo (memoria dedicada a los componentes centrales más esenciales de un sistema operativo y sus interacciones con el hardware del sistema). Este defecto podría exponer información protegida, por ejemplo, las contraseñas.

Dado que el error se integra en el hardware Intel x86-64, se requiere sobrescribir sobre el sistema operativo para parchear en cada uno de los principales sistemas, incluidos Windows, Linux y macOS.

Según The Register, los detalles exactos de este fallo de diseño y hasta qué punto son vulnerables los usuarios se mantienen ocultos por el momento, aunque dado que los desarrolladores parecen apresurarse a aplicar los parches en las próximas semanas, pinta muy mal.

Puestos a especular en el peor de los escenarios, algo tan simple como JavaScript ejecutándose en una página web o malware alojado en la nube podría obtener acceso a algunos de los mecanismos internos más sensibles de un dispositivo basado en Intel. 

Debido a que la solución implica cortar por completo la memoria del kernel de los procesos del usuario, los sistemas operativos parcheados podrían recibir un duro golpe al rendimiento masivo de los equipos, “entre un 5 y hasta un 30% de desaceleración, dependiendo de la tarea y el modelo de procesador”:

Estos parches KPTI [Kernel Page Table Isolation] mueven el núcleo a un espacio de direcciones completamente separado, por lo que no es solo invisible para un proceso en ejecución. En realidad, esto no debería ser necesario, pero es evidente que hay una fallo en Intel que permite que las protecciones de acceso al kernel sean anuladas de alguna manera.

Lo malo de esta separación es que es relativamente costosa, en cuanto al tiempo, seguir cambiando entre dos espacios de direcciones por separado para cada llamada al sistema y para cada interrupción del hardware. Estos cambios de contexto no ocurren instantáneamente, y obligan al procesador a volcar datos en la caché y volver a cargar información de la memoria. Esto aumenta la sobrecarga del kernel y ralentiza el equipo.

Como resultado de ello, tu máquina con Intel funcionará más lenta

Del 5 al 30% hay un salto muy grande, pero debido al secretismo en este momento, es difícil decir cuán notable será el impacto para el uso del consumidor: es probable que los sistemas a escala empresarial, como la computación en la nube, sean los más afectados. Para el usuario promedio, es posible que el impacto sea insignificante. También es posible que una mejor implementación de la solución en los parches futuros pueda reducir el rendimiento alcanzado.

“Se está realizando el desarrollo urgente de una mitigación de software y recientemente ha aterrizado en el kernel de Linux… una mitigación similar comenzó a aparecer en kernels NT en noviembre”, escribió este lunes el blog Python Sweetness. “En el peor de los casos, la corrección del software provoca una gran desaceleración en las cargas de trabajo típicas … Hay indicios de que el ataque afecta a entornos de virtualización comunes, incluidos Amazon EC2 y Google Compute Engine”.

Al menos, la pequeña porción del mercado que ejecuta procesadores AMD tiene motivos para sentirse satisfechos consigo mismos