Cómo proteger tu navegador contra ataques que aprovechen los bugs Meltdown y Spectre
Desarrolladores ya están planteando soluciones para proteger los navegadores contra el bug de los procesadores Meltdown y Spectre.
4 enero, 2018 17:09Noticias relacionadas
Acabamos de empezar el 2018 y ya estamos ante una de las peores noticias que puede dar un medio de tecnología. Todos tus dispositivos son vulnerables ante los bugs que se han descubierto y revelado recientemente.
Seguramente seguiremos hablando de Meltdown y Spectre durante mucho tiempo. Pero por el momento, lo importante es saber si nos afecta y cómo podemos protegernos. Ante lo primero, la respuesta es sencilla: es prácticamente seguro que estás afectado, sin importar el procesador que uses. Tienes más información aquí.
Para protegernos ante Meltdown y Spectre, podemos simplemente esperar; los desarrolladores de sistemas operativos ya han lanzado o están trabajando en parches que taparán estos agujeros, si bien con consecuencias en el rendimiento. Pero no es suficiente con esperar.
Tanto Mozilla como Google han confirmado que es posible aprovecharse de Meltdown y Spectre con un ataque a través de nuestros navegadores web. Sólo con acceder a una página web, el navegador puede ejecutar código Javascript malicioso que obtenga información de sus visitantes, sus sistemas y sus archivos. Por muy seguros que sean, estamos hablando de un bug de bajo nivel que afecta a todas las aplicaciones.
Afortunadamente, gracias al desarrollo de funciones de seguridad, muchos navegadores ya tienen algunas protecciones contra estos ataques.
Chrome
Project Zero, el equipo de Google dedicado a investigar problemas de seguridad, fue uno de los que reveló el alcance de Meltdown y Spectre.
Así que no es una sorpresa que Chrome ya tenga una funcionalidad contra este tipo de ataques; aunque no se activará por defecto hasta Chrome 64, cuyo lanzamiento se espera para el 23 de enero.
Se llama aislamiento estricto, y consiste en asignar un proceso diferente, con su porción de memoria, a cada nueva web que visitemos.
Afortunadamente, ya puedes activar el aislamiento estricto en Chrome 63, la versión actual. Sólo sigue estos pasos:
- Abre una nueva pestaña e introduce “chrome://flags” en la barra de direcciones. Pulsa Intro.
- Reinicia Chrome. Puedes hacerlo con el botón que aparecerá al activar la opción, o simplemente cerrando y volviendo a abrir Chrome.
Firefox
Mozilla ha sido de las primeras en hablar de este tipo de ataques. Lo curioso es que desde el noviembre pasado, los desarrolladores ya habían deshabilitado o reducido funciones de Firefox que podían ser usadas por webs malignas.
Firefox 57, la última versión disponible, ya tiene estos cambios implementados. Por lo tanto, si usas Firefox lo único que tienes que hacer es actualizar. Además, recuerda que Firefox 57 también estrenó muchas novedades como una mayor rapidez.
Mozilla asegura que ya está experimentando con técnicas para parar completamente estos ataques, aunque no ha dado fecha para su implementación.
Internet Explorer y Edge
Microsoft no se ha quedado atrás, y también ha realizado cambios en sus navegadores para mitigar los bugs. Estos cambios son idénticos a los que ha realizado Mozilla en Firefox; y de la misma manera, Microsoft ha prometido que seguirá trabajando en soluciones.
Si usas Windows, asegúrate de tener instalada la actualización KB4056890, que es la que ya incluye estos cambios. Para ello, inicia Windows Update y pulsa en Buscar Actualizaciones.