Vulnerabilidades MDS obligan a Google a reducir el rendimiento de Chrome OS

Acorde a expertos en seguridad de aplicaciones web, Google anunció el lanzamiento de una actualización del sistema operativo Chrome que incluye una serie de correcciones para las vulnerabilidades MDS que, de ser explotadas, podrían permitir a un hacker malicioso acceder a partes privilegiadas de la memoria. La mala noticia para los usuarios de Chrome es que la tecnología Hyper-Threading estará desactivada de forma predeterminada.

La tecnología Hyper-Threading de Intel es el método por el que algunos procesadores duplican la cantidad de núcleos del CPU, lo que permite que el CPU optimice el tiempo de procesamiento de datos; en otras palabras, un CPU Intel de dos núcleos puede trabajar como si tuviese cuatro, un CPU de cuatro núcleos trabajará con ocho, etc.

En esencia, la tecnología Hyper-Threading le dará a una computadora más poder de procesamiento, incrementando el consumo de batería del equipo. Puede que el usuario no note que Hyper-Threading está inhabilitado mientras navega por sus redes sociales, pero si se están usando programas de edición o algo parecido, el cambio será notable, comentan los expertos en seguridad de aplicaciones web.

Las vulnerabilidades MDS podrían permitir que un actor de amenazas consiga acceso al registro de actividad de un usuario usando un exploit para buscar datos en la memoria caché del CPU. A pesar de que no se han registrado explotaciones en escenarios reales, esta posibilidad preocupa a la comunidad de la ciberseguridad.

La necesidad de inhabilitar Hyper-Threading se debe a que estas fallas se encuentran en el hardware del CPU, no en el software; esta medida de seguridad cambia la forma en la que el procesador administra el trabajo, por lo que el caché del CPU no podrá ser leído por algún componente externo.

Acorde a los especialistas en seguridad de aplicaciones web, un script en un sitio web malicioso o en una aplicación de Android podría tratar de explotar estas vulnerabilidades para acceder a información confidencial de la víctima almacenada en el keystore de Chrome. Google menciona que esta es una primera etapa de mitigación de riesgos, agregando que más parches de seguridad serán lanzados en el futuro.

Expertos del Instituto Internacional de Seguridad Cibernética (IICS) las vulnerabilidades MDS por ahora no afectan a los usuarios de Chromebook, además, se espera que la compañía encuentre pronto una mejor alternativa a simplemente inhabilitar una función que potencia el uso del CPU. Estas vulnerabilidades son similares a las conocidas Spectre y Meltdown, mismas que Google pudo corregir con actualizaciones de software.