Las fallas de hardware no se pueden erradicar con parches de software

Parece que no hay un final a la vista para las vulnerabilidades de seguridad a nivel de hardware en los procesadores Intel, así como para los interminables parches de 'rendimiento matador' que los resuelven.

Las CPUs modernas de Intel se han encontrado ahora vulnerables a un nuevo ataque que involucra la explotación inversa de vulnerabilidades de fuga de datos de tipo Meltdown para eludir las defensas existentes, dijeron dos equipos separados de investigadores.

Conocidos como "Take A Way", pueden mitigarse a través de una variedad de cambios

Los procesadores AMD desde 2011 hasta 2019 tienen vulnerabilidades previamente no reveladas que los abren a dos nuevos ataques de canal lateral diferentes, según una investigación publicada recientemente.

Conocidos como "Take A Way" ^[PDF], los potenciales nuevos vectores de ataque aprovechan el predictor de forma de caché de datos L1 (L1D) en la microarquitectura Bulldozer de AMD para filtrar datos confidenciales de los procesadores y comprometer la seguridad al recuperar la clave secreta utilizada durante el cifrado.

La falla se encuentra en el motor de gestión de seguridad convergente de Intel (CSME)

La mala noticia: una empresa de investigación de seguridad descubrió que los conjuntos de chips Intel utilizados en las computadoras en los últimos cinco años tienen una importante falla que permite a los piratas informáticos eludir los códigos de cifrado e instalar silenciosamente malware como keyloggers.

La peor noticia: no hay una solución completa para el problema.

La firma de seguridad Positive Technologies anunció a fines de la semana pasada que la vulnerabilidad, codificada en la ROM de arranque, expone a millones de dispositivos que usan la arquitectura Intel al espionaje industrial y a las fugas de información confidencial que no pueden detectarse a medida que suceden. Debido a que la falla se produce a nivel de hardware, no se puede parchear.

El software pppd afectado es una implementación del Protocolo punto a punto (PPP)

El US-CERT emitió ayer una advertencia a los usuarios de una nueva y peligrosa vulnerabilidad de ejecución remota de código de 17 años que afecta el software PPP daemon (pppd) que viene instalado en casi todos los sistemas operativos basados en Linux, y también alimenta el firmware de muchos otros dispositivos de red.

El software pppd afectado es una implementación del Protocolo punto a punto (PPP) que permite la comunicación y la transferencia de datos entre nodos, que se utiliza principalmente para establecer enlaces de Internet como los que se obtienen mediante módems de acceso telefónico, conexiones de banda ancha DSL y redes privadas virtuales.

Los certificados afectados deberán renovarse manualmente

La más popular autoridad de firma de certificados gratuita, Let's Encrypt, ha revocado más de 3 millones de certificados TLS en las últimas 24 horas que pueden haber sido emitidos erróneamente debido a un error en su software de Autoridad de Certificación.

El error, que Let's Encrypt confirmó el 29 de febrero y se corrigió dos horas después del descubrimiento, afectaba la forma en que verifica la propiedad del nombre de dominio antes de emitir nuevos certificados TLS.

Como resultado, el error abrió un escenario en el que se podía emitir un certificado incluso sin validar adecuadamente el control del titular de un nombre de dominio.

Cerberus es un troyano bancario particularmente formidable

Una nueva investigación indica que la aplicación Google Authenticator en dispositivos Android es vulnerable a una forma de malware conocido como Cerberus. Según el especialista en seguridad cibernética financiera ThreatFabric, este troyano bancario puede robar códigos de acceso únicos generados por la aplicación y potencialmente permitir a los piratas informáticos acceder a las cuentas bancarias.

Google Authenticator proporciona una capa de autenticación de dos factores (2FA) para proteger las cuentas en línea. Accesible a través de teléfonos inteligentes, se concibió como una alternativa preferible a las contraseñas basadas en SMS que se envían a través de redes móviles con niveles de seguridad variables (y dudosos).