Podría decirse sin ninguna duda que 2018 ha sido el annus horribilis de Intel. Las técnicas de ejecución especulativa de sus procesadores no tuvieron el mejor impacto en cuanto a seguridad, dejándonos un comienzo de año marcado por Spectre y Meltdown, pero ahí no iba a terminar el asunto. Hace unos días, saltaba a la palestra Foreshadow, que iba un paso más allá.

¿Qué es Foreshadow?

Foreshadow es un ataque de ejecución especulativa que permite robar información sensible de cualquier ordenador personal o servidor. Este ataque cuenta con dos variantes, el original consiste en extraer datos del Software Guard Extensions (SGX), cuyo función era, supuestamente, proteger el código y los datos de su lectura, modificación o ataque.

En principio, el SGX debería ser inaccesible por las capas de abstracción superiores del equipo (sistema operativo, aplicaciones…); sin embargo, se ha descubierto que no era así. La segunda variante afecta a las máquinas virtuales, hypervisores, memeria del kernel del sistema operativo y la memoria del Modo de Gerencia del Sistema (SMM).

Con Foreshadow, quedaba abierta la puerta a la creación de aplicaciones que pueden interferir en la memoria usada por el sistema operativo o sus aplicaciones, pudiendo incluso leer la memoria utilizada por distintas máquinas virtuales.

La actualización KB4346084 comienza los trabajos contra Foreshadow

Aunque la vulnerabilidad Foreshadow fue localizada en enero, se hizo pública hace unos días e Intel comenzó a publicar las actualizaciones de microcódigo que mitigan el fallo. Con la ayuda de Microsoft, dichas actualizaciones se distribuyen a través de Windows Update.

La primera de las actualizaciones que pone el foco en Foreshadow es la KB4346084, que además también incluye nuevos parches contra las variantes 3a y 4 de Spectre. La actualización llega a los equipos que cuenten con los siguientes procesadores:

NombreColecciónProductos
Skylake U23eIntel Core 6ª Geni7-6560U, i7-6567U, i7-6650U, i7-6660U, i5-6260U, i5-6267U, i5-6287U, i5-6360U, i3-6167U
Skylake UIntel Core 6ª Geni7-6500U, i7-6510U, i7-6600U, i5-6200U, i5-6210U, i5-6300U, i5-6310U, i3-6100U, i3-6110U, Pentium 4405U, 4415U, Celeron 3855U, 3865U, 3955U, 3965U
Skylake YIntel Core 6ª Genm7-6Y75, m5-6Y54, m5-6Y57, m3-6Y30, Pentium 4405Y
Skylake HIntel Core 6ª Geni7-6700HQ, i7-6770HQ, i7-6820HK, i7-6820HQ, i7-6870HQ, i7-6920HQ, i7-6970HQ, i5-6300HQ, i5-6350HQ, i5-6440HQ, i3-6100H
Skylake SIntel Core 6ª Geni7-6700, i7-6700K, i7-6700T, i5-6400, i5-6400T, i5-6500, i5-6500T , i5-6600, i5-6600K, i5-6600T, i3-6100, i3-6100T, i3-6120, i3-6120T, i3-6300, i3-6300T, i3-6320, i3-6320T, Pentium G4400, G4400T, G4420, G4420T, G4500, G4500T, G4520, G4520T, G4540, Celeron G3900, G3900T, G3920, G3920T, G3940
Kaby Lake UIntel Core 7ª Geni7-7500U, i7-7510U, i7-7600U, i5-7200U, i5-7210U, i5-7300U, i5-7500U, i3-7007U, i3-7100U, i3-7110U, i3-7130U, Pentium 4415U, Celeron 3865U, 3965U
Kaby Lake U23eIntel Core 7ª Geni7-7560U, i7-7567U, i7-7660U, i5-7260U, i5-7267U, i5-7287U, i5-7360U, i3-7167U
Kaby Lake YIntel Core 7ª Geni7-7Y75, i5-7Y54, i5-7Y57, M3-7Y30, M3-7Y30, Pentium 4410Y, 4415Y, Celeron 3965Y
Coffee Lake H (6+2)Intel Core 8ª Geni9-8950HK, i7-8700B, i7-8750H, i7-8850H, i5-8300H, i5-8400B, i5-8400H, i5-8500B
Coffee Lake S (6+2)Intel Core 8ª Geni7-8670, i7-8670T, i7-8700, i7-8700K, i7-8700T, i5-8400, i5-8400T, i5-8420, i5-8420T, i5-8500 , i5-8500T, i5-8550, i5-8600, i5-8600K, i5-8600T, i5-8650, i5-8650K
Coffee Lake S (6+2) Xeon EIntel Xeon EE-2176M, E-2186M
Coffee Lake S (4+2) Xeon EIntel Xeon ESin definir
Coffee Lake S (6+2) x/KBPIntel Core 8ª GenSin definir
Coffee Lake S (4+2)Intel Core 8ª Geni3-8000, i3-8000T, i3-8020, i3-8100, i3-8100, i3-8100T, i3-8120, i3-8300, i3-8300T, i3-8350K, Pentium Gold G5400, G5400T, G5400T, G5420, G5420T, G5420T, G5500, G5500T, G5600, Celeron G4900, G4900T, G4920

La actualización KB4100347 sigue trabajando sobre Spectre

La variante 2 de Spectre sigue dando quebraderos de cabeza a Intel, que publica periódicamente parches para mitigar los posibles escenarios sobre los que se podría aprovechar esta vulnerabilidad. Además, otro de los objetivos es minimizar la pérdida de rendimiento. Los procesadores que recibirán esta actualización son:

Nombre de productoNombre público
Skylake H/SIntel Core 6ª Gen
Skylake U/Y y Skylake U23eIntel Core m 6ª Gen
Skylake Server SP (H0, M0, U0)Xeon Bronze 3104, 3106, Xeon Gold 5115, 5118, 5119T, 5120, 5120T, 5122, 6126, 6126F, 6126T, 6128, 6130, 6130F, 6130T, 6132, 6134, 6134M, 6136, 6138, 6138F, 6138T, 6140, 6140M, 6142, 6142F, 6142M, 6144, 6146, 6148, 6148F, 6150, 6152, 6154, Xeon Platinum 8153, 8156, 8158, 8160, 8160F, 8160M, 8160T, 8164, 8168, 8170, 8170M, 8176, 8176F, 8176M, 8180, 8180M, Xeon 4108, 4109T, 4110, 4112, 4114, 4114T, 4116, 4116T
Skylake D (Bakerville)Xeon D-2123IT, D-2141I, D-2142IT, D2143IT, D-2145NT, D-2146NT, D-2161I, D-2163IT, D2166NT, D-2173IT, D-2177NT, D-2183IT, D-2187NT
Skylake X (Basin Falls)Intel Core i9 79xxX, 78xxX
Kaby Lake UIntel Core 7ª Gen Mobile
Kaby Lake U23eIntel Core 7ª Gen Mobile
Kaby Lake YIntel Core 7ª Gen Mobile
KBL-R UIntel Core 8ª Gen Mobile
Kaby Lake GIntel Core 7ª Gen
Kaby Lake HIntel Core 7ª Gen
Kaby Lake SIntel Core 7ª Gen
Kaby Lake XIntel Core 7ª Gen
kaby Lake Xeon E3Intel Core 7ª Gen
Coffee Lake H 6+2Intel Core 8ª Gen
Coffee Lake S 6+2Intel Core 8ª Gen
Coffee Lake S 6+2 Xeon E3Intel Core 8ª Gen
Coffee Lake S 4+2Intel Core 8ª Gen
Broadwell DE A1Xeon D-1513N, D-1523N, D-1533N, D-1543N, D1553N
Broadwell DE V1Xeon D-1520, D-1540
Broadwell DE V2, V3Xeon D-1518, D-1519, D-1521, D-1527, D-1528, D-1531, D-1533, D-1537, D-1541, D-1548, Pentium D1507, D1508, D1509, D1517, D1519
Broadwell DE Y0Xeon D-1557, D-1559, D-1250, D-1571, D-1577, D-1581, D-1587
Broadwell H 43ei7-5950HQ, i7-5850HQ, i7-5750HQ, i7-5700HQ, i5-5575R, i5-2505C, i5-2505R, i7-5775C, i7-5775R, i7-5700EQ, i7-5850EQ
Broadwell U/Yi7-5650U,i7-5600U, i7-5557U, i7-5550U, i7-5500U, i5-5350U, i5-5350,i5-5300U, i5-5287U,i5-5257U, i5-5250U, i5-5200U, i3-5157U, i3-5020U, i3-5015U, i3-5010U, i3-5006U, i3-5005U, i3-5010U, i5-5350U, i7-5650U, M-5Y71, M-5Y70, M-5Y51, M-5Y3, M-5Y10c, M -5Y10a, M-5Y10, Pentium 3805U, 3825U, 3765U, 3755U, 3215U, 3205U, Celeron 3765U
Broadwell Xeon E3Xeon v4 E3-1258L, E3-1265L, E3-1278L, E3-1285, E3-1285
Broadwell Server E, EP, EP4SXeon E5-2603V4, E5-2609V4, E5-2620V4, E5-2623V4, E5-2630LV4, E5-2630V4, E5-2637V4, E5-2640V4, E5-2643V4, E5-2650LV4, E5-2650V4, E5-2660V4, E5-2667V4, E5-2679V4, E5-2680V4, E5-2683V4, E5-2690V4, E5-2695V4, E5-2697AV4, E5-2697V4, E5-2698V4, E5-2699AV4, E5-2699V4, E5-2608LV4, E5-2618LV4, E5-2628LV4, E5-2648LV4, E5-2658V4, E5-2699RV4, E5-4628LV4
Broadwell Server EXXeon E7-4809V4, E7-4820V4, E7-4830V4, E7-4850V4, E7-8855V4, E7-8860V4, E7-8867V4, E7-8870V4, E7-8880V4, E7-8890V4, E7-8891V4, E7-8893V4, E7-8894V4
Haswell (incluyendo H,S), Xeon E3Intel Core 4ª Gen Mobile
Intel Pentium Mobile
Intel Celeron Mobile
Haswell Perf HaloIntel Core Extreme 5960x, 5930x, 5820x
Haswell Server E, EP, EP4SXeon v3 E5-1428L, E5-1603, E5-1607, E5-1620, E5-1630, E5-1650, E5-1660, E5-1680, E5-2408L, E5-2418L, E5-2428L, E5-2438L, E5-2603, E5-2608L, E5-2608L, E5-2609, E5-2618L, E5-2620, E5-2623, E5-2628L, E5-2630, E5-2630L, E5-2637, E5-2640, E5-2643, E5-2648L, E5-2650, E5-2650L, E5-2658, E5-2660, E5-2667, E5-2670, E5-2680, E5-2683, E5-2685, E5-2687W,E5-2690, E5-2695, E5-2697, E5-2698, E5-2699, E5-4610, E5-4620, E5-4627, E5-4640, E5-4648, E5-4650, E5-4655, E5-4660, E5-4667, E5-4669
Haswell ULTIntel Core 4ª Gen Mobile
Intel Pentium Mobile
Intel Celeron Mobile
Ivy BridgeIntel Core 3ª Gen Mobile
Intel Pentium Mobile
Intel Celeron Mobile
Ivy Bridge Xeon E3i7-4960X, i7-4820K, i7-4930K
Ivy Bridge E, Ivy Bridge Server E, EN, EP, EP4SXeon v2 E5-1428L, E5-1620, E5-1650, E5-1660, E5-2403, E5-2407, E5-2418L, E5-2420, E52428L, E5-2430, E5-2430L, E5-2440, E5-2448L, E5-2450, E5-2450L, E5-2470, E5-2603, E5-2609, E5-2618L, E52620, E5-2628L, E5-2630, E5-2630L, E5-2637, E5-2640, E5-2643, E5-2648L, E5-2650, E5-2650L, E5-2658, E52660, E5-2667, E5-2670, E5-2680, E5-2687W, E5-2690, E5-2695, E5-2697, E5-4603, E5-4607, E5-4610, E5-4620, E5-4624L, E5-4627, E5-4640, E5-4650, E5-4657
Ivy Bridge Server EXE5-4610, E5-4620, E5-4624L, E5-4627, E5-4640, E54650, E5-4657L
Sandy Bridgei3-21xx/23xx-T/M/E/UE, i5-23xx/24xx/25xx-T/S/M/K, i7-2xxx-S/K/M/QM/LE/UE/QE, i7-29xxXM Extreme, Celeron G4xx, G5xx, Celeron 8xx, B8xx, Pentium 350, G6xx, G6xxT, G8xx, Pentium 9xx, B9xx
Sandy Bridge Xeon E3Familia Xeon E3-1200
Sandy Bridge Server EN/EP/EP4SXeon E5-2620, E5-2630, E5-2630L, E52640, E5-2650, E5-2650L, E5-2660, E5-2667, E5-2670, E5-2680, E5-2690
Sandy Bridge Server EN/EP/EP4SXeon E5-1428L, E5-1620, E5-1650, E51660, E5-2403, E5-2407, E5-2418L, E5-2420, E5-2428L, E5-2430, E5-2430L, E5-2440, E5-2448L, E5-2450, E52450L, E5-2470, E5-2603, E5-2609, E5-2620, E5-2630, E5-2630L, E5-2637, E5-2640, E5-2643, E5-2648L, E52650, E5-2650L, E5-2658, E5-2660, E5-2665, E5-2667, E5-2670, E5-2680, E5-2687W, E5-2690, E5-4603, E54607, E5-4610, E5-4617, E5-4620, E5-4640, E5-4650,E5-4650L, Pentium 1405
Knights LandingXeon Phi 72xx
Knights MillFamilia Xeon Phi

¿Problemas con la distribución de estas actualizaciones?

Desde MSPowerUser informan de que Microsoft podría haber cometido algunos errores al desplegar la actualización pensada para mitigar Foreshadow. Al aparecer, algunos usuarios tendrían problemas al arrancar Windows, como es el caso del usuario que publicó el tweet que podemos ver a continuación.

Además, otros usuarios habrían recibido la actualización en equipos con procesadores AMD, que no están afectados por Foreshadow. En el caso de afectados con equipos Intel, sus procesadores no aparecerían en la lista de equipos compatibles y han recibido la actualización de la misma manera.

Para desinstalar la actualización, debemos dirigirnos a Configuración > Actualización y seguridad > Ver historial de actualizaciones > Desinstalar actualizaciones. ¿Habéis recibido la actualización? ¿Os ha dado algún problema?