La
vulnerabilidad (CVE-2018-3665) fue identificada con el nombre Lazy FP State
Restore que afecta a los procesadores Intel Core y Xeon.
Esta
falla ubicada en la CPU afecta a todos los equipos que ejecutan
microprocesadores basados en Intel Core, menos algunas versiones avanzadas de
distribuciones de Windows y Linux.
El
error aprovecha la optimización del rendimiento del sistema, conocida como
restauración de estado Lazy FP, incluida en ordenadores modernos responsable de
guardar o restaurar el estado de la FPU de las aplicaciones en ejecución “Lazily” al cambiar de una aplicación a otra.
“Los
números guardados en los registros de FPU podrían usarse potencialmente para
acceder a información confidencial sobre la actividad de otras aplicaciones,
incluidas partes de claves criptográficas que se utilizan para proteger los
datos en el sistema” publicó Red Hat.
Todos
los microprocesadores que abordan Sandy Bridge se ven afectados por este error
de diseño, sin embargo, los procesadores de AMD no se ven afectados.
Está
vulnerabilidad no se encuentra en el hardware, por ello la mitigación
corresponderá a nuevos parches para distintos sistemas operativos sin solicitar
microcódigos de CPU de Intel.
La
versión 4.9 del kernel de Linux lanzada en 2016 no se ven afectadas, solo las
versiones más antiguas se ven afectadas por esta vulnerabilidad.
Las
versiones modernas de Windows, incluido Server 2016, OpenBSD y DragonflyBSD no
se ven afectadas.
Al
mismo tiempo, Microsoft publicó un aviso de seguridad, que ofrece orientación
para la vulnerabilidad de recuperación de estado de FP Lazy, también explica
que Lazy se encuentra habilitada de forma predeterminada en Windows y no se
puede deshabilitar.
Es
importante destacar que las máquinas virtuales de Azure no se ven afectadas por
la falla Lazy FP State Restore.
Fuente: The Hacker
News
