La compañía israelí CTS Labs ha respondido las preguntas de TechPowerUp al respecto de la publicación de las 13 vulnerabilidades de hardware que afectan a los procesadores AMAD Ryzen.

El escándalo destapado ayer por parte de CTS Labs, la compañía de investigación tecnología con sede en Israel, ha golpeado de lleno a AMD en el mejor momento de la compañía, la cual llevaba un año brutal en el mercado con los AMD Ryzen y sus variantes profesionales Threadripper y EPYC. Los chicos de TechPowerUp (TPU en adelante) se han puesto en contacto con la compañía israelí para preguntarles al respecto de estas vulnerabilidades. Lógicamente, al ser una compañía pequeña y desconocida, han salido muchos escépticos y fans de AMD para defender a la compañía.

CTS ha dicho a TPU que han enviado los datos a AMD y otras empresas, un ‘paquete completo de investigación’, el cual incluye ‘informes técnicos completos sobre las vulnerabilidades’, ‘código de explotación funcional de prueba de concepto’ e ‘instrucciones sobre cómo reproducir cada vulnerabilidad’ Han declarado que además de AMD, los datos extraídos de la investigación se han mandado a Microsoft, HP, Dell, Symatec, FireEye y Cisco Systems, con la intención de desarrollar diferentes parches y soluciones que mitiguen el problema.

Existe una norma no escrita en la industria de seguridad, de una vez descubierta una vulnerabilidad, ofrecer al menos 90 días a la compañía de la que se han descubierto las vulnerabilidades, para crear un parche que mitigue el problema o establecer alguna medida que ayude en mejorar la seguridad. En este caso CTS ha confirmado a TPU que los datos de la investigación fueron mandados a AMD tan solo 24 horas antes de hacer pública la información.

CTS invita a mirar la situación de manera objetiva: ‘Si miras la situación de la siguiente manera: en este momento el público conoce las vulnerabilidad y sus implicaciones, AMD está completamente informado y desarrollando parches, y las principales compañías de seguridad también están informadas y trabajando en la mitigación’

Por otra parte, al mantener Spectre y Meltdown oculto durante más de medio año, se permitió a los ejecutivos de Intel vender acciones antes de la publicación de la información, obteniendo un importante lucro. La contrapartida es que Spectre y Meltdown, pese a que afectan mayormente a Intel, también afecta a AMD y ARM, pero estas 13 vulnerabilidades solo afectan a AMD Ryzen, lo cual la sitúa en una posición complicada con respecto a los mercados bursátiles.

Aquí hay otro factor. Google dio tiempo a los fabricantes de procesadores, desarrollar parches con tiempo y calma, para que fueran efectivos, pero CTS ha puesto en serios problemas a AMD, ya que permiten la creación de malware para explotar esta vulnerabilidad, así que es una carrera contrarreloj por parte de AMD, algo que no nos parece para nada justo para la compañía. Esperemos que estas prácticas no se repitan.