HardwareNoticias

AMD habla sobre las 13 vulnerabilidades detectadas en los procesadores AMD Ryzen y EPYC

Primeras declaraciones en firme de AMD sobre la detección de las 13 vulnerabilidades que afectan a todos los procesadores AMD Ryzen y EPYC, destacando que no son tan graves como se dio a entender.

Ha tardado bastante, pero AMD ha hablado sobre las 13 vulnerabilidades al respecto de los procesadores AMD Ryzen y EPYC, que básicamente, afecta a todos los procesadores que se basan en la arquitectura Zen. Debemos recortar que CTS Labs, una empresa israelí de seguridad, dio tan solo 24 horas a AMD para encontrar una solución o prepararse para esto, cuando realmente, en la industria, se suelen dar, como mínimo, 90 días, que se basa en una regla no escrita. Google dio más de seis meses a Intel, AMD y ARM para desarrollar soluciones a Spectre y Meltdown.

Sobre las vulnerabilidades AMD ha dicho:

  • La explotación de las vulnerabilidades requiere acceso como administrador.
  • Las vulnerabilidades tienen que ver con el firmware y el conjunto de chips, no con la arquitectura x86.
  • Los parches vienen en forma de actualización de BIOS y parches de firmware solamente, no se requieren actualizaciones de microcódigo, a través de OEM y ODM.
  • Todos los problemas se abordaran en ‘semanas’, pero inferiremos con fuerza que AMD apunta a 90 días o menos.
  • No se espera un impacto de rendimiento.

El principal problema es que CTS Labs era una compañía desconocida en la industria y no siguió los protocolos más básicos. Nadie sabía nada de ellos y eso provocó reacciones contradictorias sobre estas acusaciones. Las entrevistas que quieren para Tom’s Hardware y AnandTech, no fueron especialmente aclaratorias y solo emborronaron la situación aún más.

Mark Papermaster, uno de los máximos responsables de AMD dijo, sobre las vulnerabilidades de los AMD Ryzen: ‘os problemas de seguridad identificados por los investigadores de terceros no están relacionados con la arquitectura de CPU «Zen» de AMD ni con los exploits de Google Project Zero publicados el 3 de enero de 2018. En cambio, estos problemas están asociados con el firmware que administra el procesador de control de seguridad integrado. en algunos de nuestros productos (AMD Secure Processor) y el chipset utilizado en algunas plataformas de escritorio socket AM4 y socket TR4 compatibles con procesadores AMD.’

Papermaster también hablo sobre el tema, para que pudieran explotar las vulnerabilidades, se necesitaba acceso físico: ‘Además, todos los sistemas operativos modernos e imprevisores de calidad empresarial hoy en día tienen muchos controles de seguridad efectivos, como Microsoft Windows Credential Guard en el entorno de Windows, para evitar el acceso administrativo no autorizado que tendría que superarse para poder afectar estos problemas de seguridad.’

CTS Labs ha hecho creer que el problema era tan serio como Spectre y Meltdown, pero está por debajo de estas vulnerabilidades. Cuando AnandTech presiono al respecto de esto, CTS Labs cayo: ‘Para ser sincero contigo, en esa situación particular [ejecutar una máquina virtual en un servidor], las vulnerabilidades no te ayudan mucho. Sin embargo, si un servidor se ve comprometido y el proveedor de la nube confía en la virtualización segura para segregar los datos de los clientes mediante el cifrado de la memoria, y alguien ejecuta un exploit en su servidor y se rompe en el SP, podrían manipular este mecanismo y este mecanismo.’

Fuente: TH

Mostrar más

Roberto Solé

Director de Contenidos y Redacción de esta misma web, técnico en sistemas de generación de energía renovables y técnico electricista de baja tensión. Trabajo delante de un PC, en mi tiempo libre estoy delante de un PC y cuando salgo de casa estoy pegado a la pantalla de mi smartphone. Cada mañana cuando me levanto cruzo el Stargate para hacerme un café y empezar a ver vídeos de YouTube. Una vez vi un dragón... ¿o era un Dragonite?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar

Bloqueador de anuncios detectado

Este sitio se financia mediante el uso de publicidad, miramos en todo momento que la misma no sea demasiado intrusiva para el lector y priorizamos la experiencia del mismo en la web. Pero si bloquea los anuncios, parte de nuestra financiación se verá mermada.