Vulnerabilidades de seguridad Meltdown y Spectre


Vigunu.com es consciente de las vulnerabilidades de seguridad que afectan a la mayoría de los procesadores conocidos. Estas vulnerabilidades fueron descubiertas recientemente por varios expertos en seguridad.
   
Estas vulnerabilidades han sido apodadas Meltdown y Spectre.
    
“Estos errores de hardware permiten a programas robar datos que estén siendo procesados en el momento en el computador. Aunque típicamente los programas no tienen permiso de leer datos de otros programas, un programa malicioso puede explotar los fallos de Meltdown y Spectre para tomar posesión de los secretos almacenados en la memoria de otros programas en ejecución. Esto podría incluir sus contraseñas almacenadas en un gestor de contraseñas o navegador, sus fotos personales, correos electrónicos, mensajes instantáneos e incluso documentos críticos de negocios.” – Traducido de meltdownattack.com, el 5 de enero de 2018.

En la mayoría de los casos, es necesario tener acceso físico a la computadora para poder explotar estas vulnerabilidades. En el momento de escribir esto, no se conoce de ningún intento de explotar dichas vulnerabilidades.
  
Un atacante en potencia sin acceso autorizado, podría ejecutar un código malicioso a través de otras aplicaciones para tener acceso a la memoria de otros procesos.
  
Siguiendo las mejores prácticas de la industria, Vigunu.com recomienda a sus clientes mantener sus sistemas operativos actualizados, para garantizar que las actualizaciones de seguridad sean ejecutadas y que los parches de seguridad recomendados por el proveedor sean instalados de la misma manera.

REPARACIÓN

Aquí abajo encontrará los enlaces a los proveedores sobre cómo aplicar los parches a los sistemas operativos de servidores más populares, incluyendo:

Ubuntu
Centos
Red Hat Entreprise Linux
Debian
Windows Server
VMWare

Para sistemas operativos que no estén listados aquí arriba, nuestros clientes deberían contactar a su proveedor para obtener instrucciones y más información sobre cómo abordar estas vulnerabilidades.

IMPACTOS DE LA REPARACIÓN

La retroalimentación de la industria ha indicado que hay un potencial impacto en el desempeño como resultado de aplicar algunos parches. Los impactos reportados varían desde un mínimo hasta un notable impacto en cuanto a la latencia en las bases de datos. Vigunu.com no tiene detalles precisos del impacto en estos momentos. Continuaremos supervisando la información disponible sobre estas vulnerabilidades.

INFORMACIÓN TÉCNICA

Para obtener mayor información y detalles en profundidad, por favor visite https://meltdownattack.com (en inglés solamente).

Las vulnerabilidades y exposiciones comunes (CVE) oficiales reportadas:
• CVE-2017-5754
• CVE-2017-5753
• CVE-2017-5715

PRÓXIMOS PASOS

Vigunu.com considera seriamente todas las vulnerabilidades. Estamos tomando precauciones internamente, con todos los socios y nuestros proveedores con respecto a la mitigación.

La información sobre estas vulnerabilidades está en pleno desarrollo y Vigunu.com está en comunicación constante con sus socios y proveedores.

Vigunu.com mantendrá a sus clientes actualizados conforme más información esté disponible.