Saltar al contenido

Actualización de la Guía para los CPA sobre Espectro y Deshielo

La semana pasada publicamos una guía para los contadores públicos para abordar las crecientes preocupaciones de seguridad conocidas como Spectre y Meltdown, pero el lunes Intel y Dell publicaron actualizaciones de esa guía. El autor Brian Tankersley, CPA aborda el asunto basado en su propia experiencia.

En una entrada de blog titulada «Identificada la causa raíz del problema de reinicio», Intel dijo: «Recomendamos que los fabricantes de equipos originales, proveedores de servicios de nube, fabricantes de sistemas, proveedores de software y usuarios finales detengan el despliegue de las versiones actuales (de parches y actualizaciones de la BIOS) ya que pueden introducir reinicios más altos de lo esperado y otros comportamientos impredecibles del sistema».

Actualización de la Guía para los CPA sobre Espectro y Deshielo
Actualización de la Guía para los CPA sobre Espectro y Deshielo

Dell también publicó una actualización el lunes que incluía lo siguiente:

«Dell aconseja que todos los clientes y socios no deben implementar la actualización del BIOS para la vulnerabilidad de Spectre en este momento, debido a que la asesoría de Intel reconoce los problemas de reinicio y el comportamiento impredecible del sistema. Hemos eliminado las actualizaciones impactantes del BIOS de nuestras páginas de soporte y estamos trabajando con Intel en una nueva actualización del BIOS que tratará la vulnerabilidad de Spectre».

Mientras que los fabricantes de hardware suelen acertar cuando solucionan un problema, esta vez han empeorado aún más un gran lío, y por eso Intel, Dell y los demás editores han sacado las actualizaciones de la BIOS diseñadas para arreglar la vulnerabilidad de Spectre en la BIOS de su sistema. Después de que instalé personalmente las actualizaciones de la BIOS en mi portátil Dell Latitude E7270 a finales de la semana pasada, tuve algunos «reinicios espontáneos» cuando usé la máquina actualizada en los últimos días. Estos «reinicios» – que también son conocidos por los técnicos como «pantallas azules de la muerte» o errores de «pantalla azul» donde Windows simplemente dejó de funcionar y luego se reinició automáticamente, causando que tuviera que rehacer algo de trabajo.

Fui al sitio web de soporte de Dell para mi Latitude E7270 temprano el miércoles 24 de enero, y noté que el parche de la BIOS que había aplicado para bloquear la vulnerabilidad de Spectre (v. 1.18.5) ya no estaba disponible para ser descargado. Descargué la versión más reciente de la BIOS (v 1.17.5) disponible en el sitio de Dell, la instalé, contuve la respiración y esperé.

Reinicié el sistema y mis misteriosos reinicios se detuvieron… y mientras escribo esto en mi portátil que una vez fue un buggy, siento que tengo una herramienta útil de nuevo. El sistema ha funcionado durante dos horas desde la actualización y no se ha reiniciado – así que la actualización fue claramente un problema.

Desafortunadamente, la utilidad Inspectre de Steve Gibson me dice ahora que soy nuevamente vulnerable a la vulnerabilidad de Spectre. (Para los que llevan la cuenta, ahora estoy esperando los parches del BIOS para mi servidor Dell, mi portátil Dell Latitude E7270, mi portátil Lenovo Yoga 2 Pro y la mayoría de mis servidores Linux – así que creo que habrá actualizaciones adicionales en esta guía a medida que estén disponibles las actualizaciones de firmware probadas y aprobadas.

Este incidente, en el que un gran fabricante de hardware se apresura a sacar un parche de seguridad que crea nuevos problemas, aunque inusuales, no carece de precedentes. Intel se ha disculpado por los problemas con el parche anterior, y ha dicho que están «trabajando las 24 horas del día» para probar enérgicamente una nueva actualización, que publicarán lo antes posible.

Este incidente también ilustra otro desafío para los tecnólogos en este mundo «siempre activo»: qué se supone que se debe hacer cuando el «arreglo» de un problema crea otro problema aún peor. Al igual que el resto de «adivinar», a veces la elección no es entre «correcto» e «incorrecto», sino que las únicas opciones disponibles son «malo» y «peor».

Como recordatorio, el problema con las actualizaciones de Intel, Dell, Lenovo, y otras, sólo está relacionado con los parches de la BIOS/UEFI necesarios para parchear sus sistemas para Spectre. Esta pausa mientras esperamos un arreglo adecuado de la BIOS significa que aún debes instalar otras actualizaciones de software y controladores en tus sistemas para Meltdown y otros problemas.

A continuación se muestra un árbol de decisiones para evaluar los parches de Spectre/Meltdown:

Actualización de la Guía para los CPA sobre Espectro y Deshielo

patch decision tree

Si quieres obtener la última información tal y como la veo publicada, puedes ver los sitios web de Intel, Dell, HP y Lenovo, y puedes seguirme (@BFTCPA) en Twitter.