Etiqueta: Seguridad

Los sistemas en chip (SoC) de Qualcomm siguen siendo por ahora los mejores en Android, pero la compañía no siempre se ha tomado muy en serio lo de actualizar los controladores para corregir problemas y fallos de seguridad. Esto último es una constante hoy en día, y sobre todo en las plataformas más usadas que es donde los piratas pueden conseguir más dinero. Por eso Google lleva tiempo intentando que todos los que participan en su ecosistema se tomen las actualizaciones más en serio —incluida la propia Google—, y eso pone en el centro del asunto a Qualcomm.

Google mantiene un grupo experto en la caza de vulnerabilidades en todo tipo de productos, desde sistemas operativos hasta aplicaciones de amplio uso, el Proyecto Cero, y ha notificado infinidad de vulnerabilidades desde que se creara en 2014. La última tanda de vulnerabilidades tiene que ver con la última versión del iOS de Apple, ya que en total han encontrado tres vulnerabilidades de día cero —anteriormente desconocidas y por tanto no arregladas— que están siendo activamente explotadas.

Linux es el sistema operativo más usado del mundo gracias a que es la base de Android, y eso significa que la nueva vulnerabilidad denominada BleedingTooth que afecta a las conexiones Bluetooth de este sistema operativo va a afectar a cientos de millones de dispositivos en todo el mundo. El fallo de seguridad ha sido descubierto por un ingeniero de Google, Andy Nguyen, que además de ponerle nombre al fallo también ha dado tiempo a Intel para investigarlo y la compañía le ha puesto una nota de severidad de 8.3 sobre 10.

Hace unos días AMD anunció que hay una vulnerabilidad en sus controladores Radeon que no podrá solucionar hasta el primer trimestre de 2021, y ahora ha indicado que sí ha podido resolver otro gracias a la información proporcionada por Cisco Talos. Tiene el código CVE-2020-12933, y tiene que ver con una llamada a la biblioteca D3DKMTEscape que intercambia información con el controlador de pantalla que, modificada de una manera especial, provoca una lectura fuera de límites en el núcleo de Windows.

Poco a poco van llegando nuevos juegos que implementan el supermuestreo por inteligencia artificial (DLSS) gracias a la arquitectura RTX de NVIDIA, y los dos nuevos títulos que ya se pueden disfrutar con DLSS activado son Marvel's Avengers y Wolfenstein: Youngblood. Ambos son juegos de segunda fila, y el primero un poco mejor que el segundo, pero ambos de suspenso. Al menos el Wolfenstein tiene la excusa de que salió barato y se reutilizaron los recursos de juegos anteriores, pero el de los Vengadores no tiene ninguna.

Tarde o temperano todo sistema seguro termina no siéndolo porque los investigadores y los piratas suelen ser cada vez más creativos a la hora de buscar formas de reventar sistemas. Los últimos problemas de seguridad para Apple proceden del chip T2 incluido en una buena cantidad de los Mac desde 2017 y tiene la particularidad de que es un fallo que no se puede solucionar. Las buenas noticias son que se precisa de acceso físico al equipo para poder explotarlo, y que no es permanente.

Las vulnerabilidades en toda pieza de programación es desgraciadamente habitual, y el de esta noticia tiene que ver con los controladores gráficos Radeon Adrenalin de las tarjetas gráficas de AMD. Según Cisco Talos y confirmado por la compañía afectada, existe una vulnerabilidad en la reserva de espacio de memoria durante la generación de gráficos. Esta vulnerabilidad tiene el código CVE-2020-12911 y la gravedad reside en que puede ser explotada por cuentas sin permisos de administrador.

Los problemas de seguridad de los procesadores son habituales, y si no que se lo pregunten a Intel. Pero cuando se trata de los procesadores de dispositivos móviles el problema es aún mayor porque la mayoría de los móviles y tabletas jamás reciben una triste actualización de seguridad, y los que la reciben lo hacen unas pocas veces durante un año, dos si tienen suerte, y tres si es un dispositivo de Google. Siendo los Snapdragon los más populares en móviles, también son los más atacados por los piratas, y ahora se han sumado más de 400 nuevas vulnerabilidades, aunque todas están agrupadas en unos poco códigos de vulnerabilidad.

Los problemas de Intel en cuanto a la seguridad de sus productos de los últimos años se ha visto agravada por la llegada a internet de una enorme cantidad de información confidencial de la compañía en la que se ha venido a llamar la filtración «Exconfidential Lake». Son más de 20 GB de información de la compañía que incluye código fuente, herramientas de depurado, y otra propiedad intelectual de la compañía.

Las vulnerabilidades en los procesadores no son exclusivas de Intel, aunque en los últimos tiempos se hayan cebado con la compañía. Es el resultado de que durante mucho tiempo la inmensa mayoría de procesadores de cliente vendidos han sido los de Intel, pero a medida que vaya pasando el tiempo se irán descubriendo fallos de seguridad en otras plataformas, como los procesadores ARM en móviles o los de AMD. El último problema afecta en especial a las unidades de procesamiento acelerado (APU) de esta última compañía, y ya tiene código de vulnerabilidad (CVE-2020-12890).