Algunos de vosotros probablemente hayáis leído acerca de las vulnerabilidades recientes del hardware, Spectre y Meltdown, que parecen estar presentes en casi todos los procesadores modernos. Por ello queríamos daros un nuevo post relacionado con ello y con la posición de Zoho al respecto.
Vamos a explicar esto rápidamente en términos de una persona no especializada. Todos los procesadores modernos usan una técnica llamada «ejecución especulativa» para acelerar las tareas. Es decir, los procesadores ejecutan instrucciones incluso antes de estar seguros de que esas instrucciones deban ejecutarse. La idea es anticipar lo que el usuario podría hacer y permitir que el procesador se adelante al juego, mejorando el rendimiento del usuario.
Ahora parece que esta técnica no es perfecta para imponer los límites de confianza. Esto hace que el código malicioso cruce los mismos y lea la memoria del sistema que puede contener información confidencial. Éste es el núcleo del problema de Spectre y es común a todos los procesadores modernos. El problema de Meltdown está relacionado principalmente con los procesadores de Intel y proviene de una causa diferente pero con la misma consecuencia que permite que el código malicioso cruce los límites de confianza.
El 5 de enero, el equipo de preparación para emergencias informáticas de los EE. UU. dijo que aunque los defectos «podrían permitir que un atacante obtenga acceso a información confidencial», todavía no se es consciente de que alguien lo haya hecho.
Zoho es consciente de estas vulnerabilidades y su impacto. Sus procesos de hardware ya ponen algunas salvaguardias en los lugares indicados. Sus sistemas de producción no dependen del aislamiento proporcionado por los procesadores de hardware para la protección de datos del cliente. Zoho no permite el despliegue de código arbitrario de terceros dentro de sus sistemas, lo que puede limitar el alcance de cualquiera que intente aprovecharse. Por lo tanto, los datos de los clientes no están expuestos a esta clase de vulnerabilidades.
Dicho esto, Zoho está trabajando con sus proveedores para probar los parches iniciales de software que han lanzado y para implementarlos en sus entornos de desarrollo y producción.
ArcTechnica: Artículo general explicando el problema y qué están haciendo los vendedores.
Meltdown.com: Explicación y links.
Google Blog Entry: Explicación técnica
Texto original: Vijay Sundaram Traducción y adaptación: SagitaZ
