AMD ha revelado que su popular utilidad de software Ryzen Master, que permite la supervisión del procesador y las capacidades de overclocking para su línea de procesadores de consumo, tiene una nueva vulnerabilidad, calificada como 7.2 (alta), que podría permitir que un atacante tome el control completo del sistema. AMD ha lanzado una nueva versión actualizada de Ryzen Master para Windows 10 y Windows 11 que soluciona el problema.
AMD señala que el problema se debe a que el nivel de privilegio de un usuario no se valida durante el proceso de instalación de Ryzen Master, lo que "puede permitir que un atacante con privilegios bajos modifique archivos, lo que podría conducir a una escalada de privilegios y ejecución de código por parte del usuario menos privilegiado".
Esto significa que un usuario con privilegios bajos en una computadora podría usar una versión anterior de Ryzen Master para obtener acceso de administrador y, en última instancia, control total del sistema mediante la modificación de archivos importantes del sistema. Sin embargo, no está claro si un usuario sin acceso de administrador podría usar el instalador anterior para facilitar un ataque.
AMD Ryzen Master también proporciona varias funciones que permiten un control preciso del sistema, como el acceso a voltajes cambiantes y frecuencias de reloj en tiempo real. No está claro si estas características, si son accesibles para un usuario de bajo nivel, podrían usarse para ataques de sincronización de reloj y voltaje en la misma línea que Hertzbleed y Plundervolt. Seguimos a AMD para obtener más aclaraciones.
AMD solucionó un problema anterior con Ryzen Master, descubierto por HP en 2020 (se abre en una nueva pestaña), que también permitía elevación de privilegio (CVE-2020-12928). La compañía corrigió recientemente un error que permitía que los controladores de su tarjeta gráfica aceleraran automáticamente la CPU sin permiso, y también reveló 31 vulnerabilidades recién descubiertas el mes pasado.
AMD recomienda actualizar al menos a la versión 2.10.1.2287 para actualizar el software y corregir la vulnerabilidad. La nueva versión tiene algunas otras mejoras notables sobre la versión existente, incluida la adición de soporte para establecer una temperatura máxima de funcionamiento, lo que ralentizaría el procesador una vez que exceda una temperatura asignada. Ryzen Master ahora también le permite asignar un voltaje superior a 5,2 V, que está mucho más allá del voltaje de funcionamiento normal (solo haga esto si sabe lo que está haciendo). Naturalmente, la mayoría de los usuarios no necesitarán esta capacidad para los chips existentes, pero es útil para los overclockers extremos y podría resultar útil para los modelos futuros. En particular, no todas las funciones son compatibles con los procesadores más antiguos.
A la nueva vulnerabilidad se le asigna el identificador CVE-2022-27677 y se publicó en una divulgación de vulnerabilidad coordinada con Conor McNamara.
Deja una respuesta