Intel no está teniendo un gran comienzo de año. Si hace apenas unos días la compañía tuvo que
congelar la difusión de sus parches contra las vulnerabilidades Spectre y Meltdown tras descubrir que inducían
problemas de estabilidad en los ordenadores actualizados, ahora es Microsoft la que ha tomado medidas al publicar una
segunda actualización urgente para Windows. Este tipo de parches son bastante inusuales, puesto que Microsoft acostumbra a lanzar sus actualizaciones el segundo o el cuarto martes de cada mes (día conocido informalmente como Patch Tuesday).
La actualización de Microsoft busca reducir los reinicios provocados por los parches de firmware de Intel. No es por tanto una solución a las vulnerabilidades en el hardware (cuya
reparación sigue siendo responsabilidad de Intel) ni a la forma en la que pueden ser utilizadas desde el sistema operativo (para lo cual
ya existe un parche).
Si ya se ha actualizado la BIOS/UEFI de un sistema afectado por Meltdown o Spectre, se recomienda la instalación del nuevo parche de Microsoft.
Asimimso, Microsoft ha lanzado una nueva configuración del registro para los dispositivos afectados. Gracias a este nuevo parámetro los administradores de sistemas pueden activar o desactivar la protección contra la variante 2 de la vulnerabilidad Spectre, que es la que está causando los problemas de estabilidad.
Intel avisó antes a compañías chinas que al gobierno de EEUUPor otro lado, Intel se ha encontrado con un nuevo problema al darse a conocer que informó antes a los fabricantes chinos de hardware de la presencia de Spectre y Meltdown que al gobierno estadounidense. Según fuentes consultadas por el
Wall Street Journal, esta situación podría ser potencialmente problemática para Intel y las propias autoridades estadounidenses, dada la relación entre las agencias de seguridad chinas y la industria tecnológica nacional.
Entre las empresas que recibieron un aviso anticipado se cuentan Alibaba y Lenovo. Un portavoz de Intel no ha negado las acusaciones, señalando en su lugar que no fue posible notificar a todo el mundo a tiempo debido a la atropellada forma en la que fueron
desveladas estas vulnerabilidades (extremo debatible, considerando que los investigadores llevaban meses trabajando en su mitigación). Lenovo, por su parte, ha dicho que no puede hacer comentarios sobre las fechas en las que recibió el aviso debido a la existencia de cláusulas de confidencialidad.
Cabe señalar que empresas estadounidenses como Microsoft ya tenían actualizaciones prácticamente listas cuando se anunciaron las vulnerabilidades, por lo que no es que Intel decidiera ignorar las empresas de un país concreto. Las críticas conciernen más a la falta de coordinación manejando la situación, puesto que un aviso previo a las autoridades podría haber servido para coordinar una campaña de seguridad más fluida y efectiva que la actual carrera para instalar parches y actualizaciones a medio cocinar.
Fuente: Microsoft