Según el estudio, la diferencia fundamental entre ambos ataques es que Meltdown puede acceder a la memoria del sistema, mientras que Spectre a la de otras aplicaciones para robar datos de las mismas.

De esta manera, tal y como revela ese estudio, Meltdown permite a un programa acceder a la memoria (y secretos) de otros programas y del sistema operativo. “Este ataque rompe el aislamiento fundamental que existe entre las aplicaciones de usuario y el sistema operativo”, afirma. El problema afecta a ordenadores personales y a la infraestructura cloud.

En cuanto a Spectre, este problema va más allá y rompe el aislamiento entre distintas aplicaciones. Un atacante podría usarlo para vulnerar la seguridad de aplicaciones que han sido programadas perfectamente y siguiendo las mejores prácticas. De hecho, seguir esas prácticas acaba siendo contraproducente, ya que hace estos programas más vulnerables a Spectre. A diferencia de Meltdown, no hay parches software para Spectre, aunque es más difícil de explotar que Meltdown, pero también más difícil de mitigar. Algunos parches softwarepueden evitar ataques Spectre con exploits conocidos que traten de aprovechar esta vulnerabilidad.

Variantes

Estos ataques se presentan en tres variantes distintas (CVE-2017-5715, CVE-2017-5753 y CVE-2017-5754), dos de ellas de Spectre y otra de Meltdown, como explican en Project Zero. Además, están presentes en diversos sistemas, como ordenadores personales, móviles y la nube.

Tanto Intel como otras compañías tecnológicas han ofrecido declaraciones con el objetivo de alertar a sus usuarios. Por su parte, Intel hace hincapié en que “muchos dispositivos, procesadores y sistemas operativos son susceptibles a estos exploits”, refiriéndose más a Spectre que al problema que afecta solo a sus dispositivos.