Mozilla confirma que la vulnerabilidad Meltdown de Intel se puede explotar por JavaScript

Mozilla confirma que la vulnerabilidad Meltdown de Intel se puede explotar por JavaScript

Rubén Velasco

A lo largo de ayer y hoy hemos podido leer una gran cantidad de artículos sobre la vulnerabilidad de los procesadores Intel, conocida como Meltdown, que ha puesto en jaque a todos los usuarios del mundo, una vulnerabilidad que permite a cualquier proceso acceder a la información secreta de otros. A medida que se van descubriendo datos técnicos sobre esta vulnerabilidad, conocida como Meltdown (junto a Spectre, otra similar que afecta también a AMD e Intel) se van encontrando nuevos vectores de ataque, y lo que parecía bastante complicado ayer, hoy es tan sencillo de hacer como visitar una web y que se cargue un simple código JavaScript.

Hace algunas horas, los responsables de Mozilla publicaban un artículo relacionado con estas dos nuevas vulnerabilidades descubiertas para todas las CPU modernas fabricadas desde 1995. En este artículo, los ingenieros del navegador OpenSource han demostrado que es posible explotar de forma remota esta vulnerabilidad utilizando un código JavaScript oculto en una web a la que el usuario podría llegar, por ejemplo, a través de una redirección o un engaño.

Según los experimentos llevados a cabo por los ingenieros de la compañía, es posible conseguir que, al ejecutar el código JavaScript en cualquier navegador, este pueda acceder a los datos secretos de cualquier otro proceso y leerlos sin ningún impedimento. Una vez leídos, es posible incluso almacenarlos o enviarlos de vuelta a un servidor.

Mozilla, igual que Google, ya trabajan en mitigar la vulnerabilidad de Intel en Firefox y Chrome

Empezando desde Firefox 57, Mozilla ya está activando varias medidas de seguridad con las que proteger a los usuarios de este terrible fallo de seguridad. Por el momento, estas medidas de seguridad se resumen en:

  • El tiempo de resolución de la función performance.now() se reduce a 20µs.
  • La función SharedArrayBuffer está desactivada por defecto.

Como hemos dicho, estas medidas iniciales para protegernos de las vulnerabilidades de Intel, AMD y ARM están ya disponibles en Firefox 57, pero la compañía sigue analizando el comportamiento de la vulnerabilidad y probando con nuevas técnicas para poder mitigar su efecto con la mayor eficacia posible.

Google Chrome, por otro lado, también es vulnerable a este fallo de seguridad y puede poner en peligro, igual que Firefox, a los usuarios. Por ello, Google ha confirmado que ya está trabajando en un nuevo parche de seguridad que corregirá esta vulnerabilidad y que llegará con Google Chrome 64 (previsto para finales de este mes), aunque si no queremos esperar, también podemos activar la función Site Isolation de Google Chrome, como nos cuentan los compañeros de SoftZone, para protegernos desde ya de este fallo.

Tal como cuentan igualmente los compañeros de SoftZone, Microsoft ya ha liberado este parche de emergencia para proteger sus sistemas Windows, así como Internet Explorer y Microsoft Edge, de las vulnerabilidades Meltdown y Spectre, aunque estos parches están causando múltiples problemas en Windows, hasta pantallazos azules, al ser un cambio tan drástico en el equipo, cambio que muchos antivirus detectan como una amenaza.

¿Crees que Meltdown y Spectre son dos de las peores vulnerabilidades que podemos encontrar?

¡Sé el primero en comentar!