Google dice Spectre y Meltdown fueron los peores vulnerabilidades en una década

Ahora que los parches en varias plataformas para las vulnerabilidades recientemente descubiertas de Spectre y Meltdown se han implementado en gran medida, Google ha detallado cómo logró abordar estas amenazas en sus servicios en la nube como Gmail y Búsqueda antes de que el público siquiera supiera de ellos.

En una larga publicación de blog el jueves, el vicepresidente de operaciones de 24/7 de Google, Ben Treynor Sloss, explica cuán difíciles fueron de parchear estos agujeros de seguridad y cuánto tiempo tardó Google en repararlos completamente, a pesar de que fue el propio equipo Project Zero de Google quien los había descubierto.

Según Sloss, Spectre y Meltdown son en realidad tres vulnerabilidades diferentes, una de las cuales, una variante de Spectre, fue particularmente difícil de proteger.

Una solución implicaba desactivar algunas características de la CPU, lo que inevitablemente conduciría a un rendimiento más lento.


"Durante meses, cientos de ingenieros en Google y otras compañías trabajaron continuamente para comprender estas nuevas vulnerabilidades y encontrar mitigaciones para ellas", escribió.

Finalmente, el ingeniero de software Paul Turner creó Retpoline , un software que hace el trabajo sin ralentizar las máquinas a las que se aplica.

Sloss dijo que para diciembre, todos los servicios de Google Cloud Platform estaban protegidos de todas las variantes de estas vulnerabilidades. La compañía implementó esta solución en toda su infraestructura y la abrió para que otros también puedan beneficiarse de ella.

"Este conjunto de vulnerabilidades fue quizás el más desafiante y difícil de solucionar en una década, requiriendo cambios en muchas capas de la pila de software. También requirió una amplia colaboración de la industria ya que el alcance de las vulnerabilidades era tan generalizado", escribió Sloss.