AMD reveló 31 nuevas vulnerabilidades de procesadores en una actualización de enero, que cubren sus chips Ryzen de consumo y procesadores de centros de datos EPYC. La actualización de vulnerabilidad también incluye una lista de versiones de AGESA, con mitigaciones para los procesadores afectados. AMD reveló las vulnerabilidades en una divulgación coordinada con varios investigadores, incluidos equipos de Google, Apple y Oracle, lo que le dio tiempo a la empresa para desarrollar mitigaciones antes de las cotizaciones públicas.
AMD ha enumerado las diversas revisiones de AGESA que ha proporcionado a sus OEM para corregir vulnerabilidades (el código de AGESA se usa para crear el código BIOS/UEFI). Sin embargo, la disponibilidad de nuevos parches de BIOS con el nuevo código AGESA variará según el proveedor. Esto significa que deberá consultar con su proveedor de placa base o sistema para ver si han lanzado nuevas revisiones de BIOS con el código AGESA correcto.
Como hemos visto en ocasiones con sistemas más antiguos, es posible que algunos no se actualicen. También parece que algunos modelos afectados aún no tienen mitigación, pero estamos siguiendo a AMD y lo actualizaremos cuando tengamos más detalles.
Las vulnerabilidades incluyen tres nuevas variantes para las principales PC de escritorio Ryzen, procesadores HEDT, Pro y Mobile. Una de las vulnerabilidades se clasifica como de gravedad alta, mientras que las otras dos se clasifican como de gravedad media o baja. Estas vulnerabilidades se pueden explotar a través de hacks de BIOS o un ataque al cargador de arranque AMD Secure Processor (ASP).
Las vulnerabilidades cubren los chips de escritorio Pinnacle Ridge de la serie Ryzen 2000, así como las líneas de productos APU de las series 2000 y 5000 que se envían con gráficos integrados (Raven Ridge, Cezanne). Además, los procesadores HEDT y Pro Threadripper de las series 2000 y 3000 de AMD también se ven afectados, así como muchos procesadores móviles de las series Ryzen 2000, 3000, 5000, 6000 y Athlon 3000.
AMD también ha enumerado 28 vulnerabilidades para sus procesadores EPYC, cuatro de las cuales son de alta gravedad. Tres de las variantes de alta gravedad permiten la ejecución de código arbitrario a través de varios vectores de ataque, mientras que una permite que los datos se escriban en ciertas regiones, lo que puede provocar la pérdida de integridad y disponibilidad de los datos. Los investigadores también descubrieron otras 15 vulnerabilidades clasificadas como de gravedad media y nueve vulnerabilidades de gravedad baja.
AMD nos dice que normalmente publica sus divulgaciones de vulnerabilidades dos veces al año, en mayo y noviembre, pero optó por publicar algunas en enero debido a la cantidad relativamente grande de nuevas vulnerabilidades y el momento de las mitigaciones.
Hace tiempo que se sabe que los chips de AMD tienen menos vulnerabilidades conocidas que los modelos de Intel. Sin embargo, no está claro si los hallazgos inicialmente limitados en los procesadores AMD se debieron a un enfoque centrado en la seguridad para el diseño de procesadores reforzados, o si los investigadores y atacantes simplemente se centraron en los procesadores de Intel en particular debido a su participación dominante en el mercado: los atacantes casi siempre se enfocan en la sección más ancha posible.
Como tal, el éxito reciente de AMD en la recuperación de la participación de mercado de Intel, particularmente en el mercado de centros de datos centrados en la seguridad, hará que los investigadores miren más hacia las arquitecturas de AMD en el futuro en busca de posibles vulnerabilidades de seguridad. AMD también tuvo varias otras revelaciones de vulnerabilidades nuevas en el pasado reciente, incluida una variante de Meltdown-esque que requiere la codificación de software, así como Hertzbleed y Take A Way.
Estamos siguiendo a AMD en varias de las listas, ya que parece que algunas CPU aún no están parcheadas.
Deja una respuesta