La semana ha empezado calentita con el error de diseño en los microprocesadores de Intel y sus graves consecuencias, al que se ha bautizado como ‘Meltdown’, y que ha venido acompañado de otro fallo de diseño similar que también afecta a los diseños de AMD y ARM bautizado ‘Spectre’. Apple se había mantenido en silencio hasta ahora con el tema, pero ahora ha confirmado que todos sus ordenadores portátiles, de sobremesa, sus tabletas y sus teléfonos están afectados.
Lo ha hecho a través de una nota de soporte dentro de su página web oficial, donde han aprovechado para lanzar un mensaje de tranquilidad a sus usuarios. Según los de Cupertino, actualmente no hay ningún exploitconocido que pueda aprovecharse de estas vulnerabilidades y comprometer la seguridad de los usuarios de Mac e iOS.
«Todos los sistemas Mac y dispositivos iOS se ven afectados, pero no hay exploits conocidos que impacten a los clientes en este momento», han dicho desde Apple en el comunicado. «Dado que la explotación de muchos de estos problemas requiere la carga de una aplicación maliciosa en tu dispositivo Mac o iOS, recomendamos descargar solo el software de fuentes confiables, como App Store».
De esta manera y tal y como habían hecho ya otras empresas, Apple le ha sugerido a los usuarios que una de las medidas de precaución más importantes es no descargar aplicaciones de fuentes desconocidas. Esta sería una de las primeras medidas por parte del usuario para evitar instalar alguna que haya sido modificada para explotar este tipo de vulnerabilidades.
La vulnerabilidad Meltdown permite que se pueda leer la memoria del kernel de un sistema operativo sin necesitar privilegios específicos. Según Apple esta es la vulnerabilidad más peligrosa, ya incluyó medidas de protección contra ella en las actualizaciones de iOS 11.2, macOS 10.13.2, y tvOS 11.2 liberadas en 2017. En cuanto a watchOS, aseguran que no es vulnerable, por lo que no necesita ser actualizado.
Spectre también permite acceder al kernel sin privilegios aprovechando el retraso de tiempo que utiliza la CPU para comprobar la validez de una llamada a memoria. Los análisis de Apple apuntan a que es poco probable que se pueda aprovechar en sus sistemas operativos con apps, pero admiten que podría explotarse utilizando el JavaScript de los navegadores. Para solucionarlo, Apple actualizará Safari para macOS e iOS en los próximos días.
En cuanto a las temidas ralentizaciones por los parches, Apple también intenta tranquilizar a los usuarios. Según la empresa, los tests internos de Speedometer y ARES-6 no indican ningún impacto negativo en Safari tras aplicarle las soluciones que están preparando, y que en JetStream la ralentización del navegador es de menos de un 2,5%. La empresa también ha dicho que tras lanzar estos parches iniciales seguirán investigando para evitar cualquier problema posterior.
Todas las grandes compañías tecnológicas como Google, Microsoft, Intel, ARM, AMD o Amazon reaccionaron con comunicados oficiales a las pocas horas de conocerse las vulnerabilidades de los procesadores. Apple era una de las únicas que todavía no se había pronunciado, pero afortunadamente este silencio tampoco ha durado demasiado.
XATACA
