Oracle comenzó a lanzar actualizaciones de software y microcódigos para productos afectados por las variantes recientemente reveladas de los defectos de Spectre y Meltdown
En mayo, los gigantes tecnológicos Intel, AMD, ARM, IBM, Microsoft y otras firmas tecnológicas se unieron para divulgar dos nuevas variantes de los problemas de Meltdown y Spectre.
La llamada variante 4 (CVE-2018-3639) se basa en un puente de almacenamiento especulativo (SSB), mientras que la variante 3a (CVE-2018-3640) es un registro de sistema no autorizado.
Tanto la variante 4 como la variante 3a podrían ser explotadas por un atacante local, por esta razón han sido clasificadas como de "gravedad media".
De acuerdo con el aviso de seguridad de Oracle, Variant 4 afecta las versiones 6 y 7 de Oracle Linux, y Oracle VM 3.4
"Los sistemas con microprocesadores que utilizan ejecución especulativa y ejecución especulativa de lecturas de memoria antes de conocer las direcciones de todas las grabaciones de memoria anteriores pueden permitir la divulgación no autorizada de información a un atacante con acceso de usuario local a través de un análisis de canal lateral, también conocido como especulativo Store Bypass (SSB) , Variante 4. "lee el aviso de seguridad publicado por Oracle.
Oracle ha lanzado actualizaciones de software para la distribución de Oracle Linux y productos de virtualización de Oracle VM, junto con las actualizaciones de microcódigo proporcionadas por Intel.
"Dos nuevas vulnerabilidades del procesador se dieron a conocer públicamente el 21 de mayo de 2018. Son vulnerabilidades CVE-2018-3640 (" Spectre v3a "o" Rogue System Register Read ") y CVE-2018-3639 (" Spectre v4 "o" Tienda especulativa " Buffer Bypass "). Ambas vulnerabilidades han recibido una Puntuación Base de CVSS de 4.3.
Exitosa explotación de la vulnerabilidad CVE-2018-3639 requiere acceso local al sistema objetivo. La mitigación de esta vulnerabilidad en los sistemas afectados requerirá actualizaciones de software y microcódigo", afirma Oracle en una publicación de blog.
"Oracle continuará lanzando nuevas actualizaciones de microcódigo y parches de firmware a medida que la producción de microcódigos esté disponible desde Intel".
Oracle se ocupó rápidamente de las vulnerabilidades iniciales de Meltdown y Spectre en la actualización de parches críticos de enero de 2018 justo después de su divulgación.
Desde enero, se han descubierto otros ataques de canal lateral, incluidos BranchScope , SgxPectre y los ataques contra la memoria del modo de gestión del sistema (SMM).
Fecha actualización el 2021-06-25. Fecha publicación el 2018-06-25. Categoría: oracle. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs