AMD enumera “silenciosamente” 31 nuevas vulnerabilidades de CPU

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

AMD divulgó silenciosamente 31 nuevas vulnerabilidades de CPU en una actualización de enero, que abarca sus chips Ryzen para consumidores y los procesadores de centros de datos EPYC.

La actualización de vulnerabilidad también incluye una lista de versiones de AGESA, con mitigaciones para los procesadores afectados. AMD reveló las vulnerabilidades en una divulgación coordinada con varios investigadores, incluidos equipos de Google, Apple y Oracle, lo que le dio tiempo a la empresa para desarrollar mitigaciones antes de las cotizaciones públicas. Sin embargo, AMD no anunció las vulnerabilidades con un comunicado de prensa u otro tipo de divulgación, simplemente publicó las listas.

AMD ha enumerado las diversas revisiones de AGESA que ha emitido a sus OEM para parchear las vulnerabilidades (el código de AGESA se usa para construir el código BIOS/UEFI). Sin embargo, la disponibilidad de nuevos parches de BIOS con el nuevo código AGESA variará según el proveedor. Eso significa que tendrá que consultar con el proveedor de su placa base o sistema para ver si ha publicado nuevas revisiones de BIOS con el código AGESA correcto.

AMD nos dice que normalmente publica sus divulgaciones de vulnerabilidades dos veces al año, en mayo y noviembre, pero optó por publicar algunas en enero debido a la cantidad relativamente grande de nuevas vulnerabilidades y el momento de las mitigaciones. Aún no está claro si habrá penalizaciones de rendimiento como hemos visto con otras mitigaciones, como Spectre y Meltdown.

Como hemos visto en ocasiones con sistemas más antiguos, es posible que algunos no se actualicen. También parece que algunos modelos afectados aún no tienen mitigaciones.

Las vulnerabilidades incluyen tres nuevas variantes para la PC de escritorio Ryzen orientada al consumidor, los procesadores HEDT, Pro y Mobile. Una de las vulnerabilidades se clasifica como de gravedad alta, mientras que las otras dos se clasifican como de gravedad media o baja. Estas vulnerabilidades se pueden explotar a través de hacks de BIOS o un ataque al gestor de arranque AMD Secure Processor (ASP).

Las vulnerabilidades abarcan los chips de escritorio Pinnacle Ridge de la serie Ryzen 2000, junto con las líneas de productos APU de las series 2000 y 5000 que vienen con gráficos integrados (Raven Ridge, Cezanne). Además, los procesadores HEDT y Pro de las series Threadripper 2000 y 3000 de AMD también se ven afectados, junto con numerosos procesadores móviles de las series Ryzen 2000, 3000, 5000, 6000 y Athlon 3000.

AMD también ha enumerado 28 vulnerabilidades para sus procesadores EPYC, cuatro de las cuales son de alta gravedad. Tres de las variantes de alta gravedad permiten la ejecución de código arbitrario a través de varios vectores de ataque, mientras que una permite escribir datos en ciertas regiones que pueden provocar la pérdida de integridad y disponibilidad de los datos. Los investigadores también descubrieron otras 15 vulnerabilidades clasificadas como de gravedad media y nueve vulnerabilidades de gravedad baja.

Los chips de AMD son conocidos desde hace mucho tiempo por tener menos vulnerabilidades conocidas que los modelos de Intel. Sin embargo, es difícil determinar si los descubrimientos inicialmente limitados en los procesadores AMD se debieron a un enfoque de seguridad primero para el diseño de procesador reforzado, o si los investigadores y los atacantes simplemente se centraron en los procesadores de Intel debido a su participación dominante en el mercado: los atacantes casi siempre se centran en el sección transversal más amplia posible.

Como tal, el reciente éxito de AMD en arrebatarle participación de mercado a Intel, especialmente en el mercado de centros de datos centrados en la seguridad, hará que los investigadores se centren más en las arquitecturas de AMD en busca de posibles brechas de seguridad. AMD también ha tenido varias otras revelaciones de vulnerabilidades nuevas en el pasado reciente, incluida una variante similar a Meltdown que requiere la recodificación del software, junto con Hertzbleed y Take A Way.

Estamos haciendo un seguimiento con AMD con respecto a varios de los listados, ya que parece que algunos procesadores aún no tienen mitigaciones. Además, estamos ansiosos por obtener más información sobre las posibles penalizaciones de rendimiento.

Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta