Ya tenemos la primera información oficial por parte de Apple sobre los problemas con los procesadores Intel y ARM, el tema más importante de seguridad con el que se ha abierto este 2018. La compañía ha sido clara y directa con el tema, publicado directamente en una nota de soporte dentro de su página web oficial. En ella, reconocen que aunque los dispositivos Mac y iOS están afectados aún no existe ningún método que las aproveche que pueda comprometer sus sistemas. Además, confirma que la compañía ya incluyó medidas de contención contra Meltdown en las actualizaciones de Diciembre de 2017: iOS 11.2, macOS 10.13.2 y tvOS 11.2. En los próximos días hará lo propio con Spectre, con un parche para Safari.
Como ya sabéis, las vulnerabilidades conocidas como Meltdown y Spectre utilizan una característica de las CPUs modernas llamada “ejecución especulativa”. Esto se utiliza para mejorar la velocidad ejecutando múltiples instrucciones a la vez, prediciendo el camino de la instrucción y deshaciendo el mismo si era incorrecta. Todo esto es invisible al software, pero puede ser utilizado por estas vulnerabilidades para ganar acceso a zonas de la memoria especiales - incluyendo el corazón del sistema operativo.
Apple tiene medidas de protección contra Meltdown desde Diciembre de 2017
Meltdown permite la lectura de memoria del núcleo del sistema operativo por un usuario sin privilegios, y según la nota de Apple, esta es la vulnerabilidad más probable de ser explotada. Tal y como comentamos ayer - adelantado por algún analista de seguridad - Apple incluyó medidas de protección adicionales en las actualizaciones de Diciembre de 2017, iOS 11.2, macOS 10.13.2, y tvOS 11.2. watchOS no requiere ningún parche.
Los primeros tests de sus parches no han medido ninguna ralentización en los sistemas operativos, según la propia Apple
Uno de los problemas de estas correcciones tal como se comentaba en las primeras informaciones era la ralentización de los sistemas que las incluían, pero la propia Apple confirma que después de estas medidas de seguridad extra en los parches, no notaron una reducción medible de rendimiento ni en macOS ni en iOS - medido por la herramienta GeekBench 4, o en herramientas de medición web como Speedometer, JetStream y ARES-6.
Spectre es más difícil de explotar, pero un parche para Safari lo bloqueará en breve
Spectre utiliza otras técnicas para hacer que ciertos contenidos del núcleo del sistema operativo estén disponibles a usuarios sin privilegios (usando el retraso de tiempo que utiliza la CPU para comprobar la validez de una llamada a memoria). Los análisis de Apple determinan - siempre según la nota oficial recién publicada - que esta técnica es “extremadamente difícil de aprovechar, incluso ejecutando una app localmente en un Mac o dispositivo iOS”, pero puede potencialmente ser utilizada en un navegador web con JavaScript.
Es por ello que la compañía planea lanzar una actualización de Safari para macOS y iOS en los próximos días para contra restar estas técnicas. En cuanto a la ralentización del sistema por estos parches, Apple indica que las nuevas versiones de Safari no han tenido impacto negativo medible en los tests internos de Speedometer y ARES-6 - y menos de un 2,5% en JetStream. La compañía ha dejado claro también que sus investigación continúan más allá de estos primeros parches y que irán actualizando iOS, macOS, tvOS y watchOS en consecuencia.
En Applesfera | Apple más allá de Intel: la posible tercera transición
Ver 20 comentarios