AMD admite las vulnerabilidades descubiertas en sus procesadores y lanzará un parche pronto

Escrito por Juan Diego de Usera

AMD acaba de confirmar que las vulnerabilidades descubiertas por la empresa de seguridad israelí CTS-Labs y que afectan a sus modernos procesadores con arquitectura Zen, Ryzen, Threadripper y EPYC, son reales. Han aprovechado para reafirmar su compromiso con la seguridad de sus clientes y afirman que tendrán un parche listo en tan solo unas semanas que llegará en forma de actualización de BIOS.

Desde el descubrimiento de las vulnerabilidades Ryzenfall, Fallout, Masterkey y Chimera, se han escrito ríos de tinta electrónica. No solo sobre éstas, sino también sobre la escasa profesionalidad de la empresa que las descubrió, que decidió darle tan solo 24 horas a AMD antes de publicar los problemas en lugar de los habituales 60 ó 90 días para intentar parchearlos, como si comprobar y solventar un problema de estas características fuera algo que se pudiera realizar en tan poco tiempo.

Nosotros, por nuestra parte, hemos optado por no comentar gran cosa sobre estas posibles (en su momento) vulnerabilidades, no al menos hasta que AMD confirmara que eran reales, cosa que acaban de efectuar. Sin embargo, AMD también ha confirmado algo que ya sabíamos desde hace algún tiempo: para poder explotar estos defectos, es necesario poseer derechos elevados de administrador de los equipos y hay que hacerlo de manera física, no remota como algunos se pensaban. En otras palabras, debes de estar físicamente en el equipo y tener usuario y contraseña de administrador.

Las vulnerabilidades se solucionarán con una simple actualización de la BIOS

Tras el análisis de las vulnerabilidades, AMD ha confirmado que tendrá lista una solución en tan solo unas semanas, que se distribuirá a los fabricantes de placas base para que sea implementada en la BIOS de estas. Esta afirmación llama bastante la atención dado que la compañía CTS-Labs afirmaba que, el motivo por el que no les habían dado más tiempo a AMD, era que se tardaría bastante tiempo en parchear estos problemas de manera efectiva.

El AMD PSP (Platform Security Processor) es un coprocesador ARM que reside dentro del propio die, llevando a cabo labores de seguridad del mismo modo que el Intel Management Engine o el Apple Secure Enclave. Como tal, es donde se centran la mayoría de las vulnerabilidades descubiertas por CTS-Labs, pero el acceso a él no es sencillo (aunque no imposible). El hecho es que, si estas vulnerabilidades se hubieran filtrado a posibles atacantes con malas intenciones, aun así debieran de haber tenido que invertir bastante recursos en cuanto a tiempo para poder fabricar herramientas con las que poder emplearlas, algo que está generalmente más allá de las posibilidades de los atacantes.

En resumidas cuentas: este problema siempre ha sido una tormenta en un vaso de agua.

Fuente > AMD

Continúa leyendo
  • Alfre2D2

    Desde luego que con este titular es como que los fallos estuvieran a la altura de Meltdown y Spectre, o siquiera, fuera como decían.
    En mi opinión, habría que ser mas directo y quitarle hierro al asunto desde el titular hasta el final (hay gente que forja opiniones solo con titulares).
    Pero bueno, al final lo decís todo…

    • FranCañon

      También hay gente que se cree RAMBO, por jugar al Call of Duty, y gente que se cree el dueño de su barrio por ser el mas mafioso en el GTA….
      O se creen electricistas por saber cambiar un enchufe o una bombilla, se sienten cocineros por saber hacer una tortilla, o mecánicos por saber mucho de coches y jugar al Gran Turismo¡xD…luego esta la realidad.

  • Jorge Pascual

    Esperemos que no quiten rendimiento como Meltdown

    • Hugo Tabra

      nada que ver se va a parchear por decir del bios, de ahí no se pierde rendimiento

      • Jorge Pascual

        Gracias por la info amigo, me lo imaginaba, pero nunca se sabe…. otro hecho mas, que viene a demostrar las malas intenciones, tanto en el fondo como en las formas, de esta “empresa” israelí, al anunciar las vulnerabilidades de los micros de AMD…. esto debería pasar a la historia, como una de las cosas mas “rastreras” que se han intentado (y no conseguido, por fortuna) contra una empresa tecnológica.

  • Hugo Tabra

    es en el bios específicamente del chipset que amd manda a fabricar , no es en procesadores

    • Dreadnought

      No te entiendo el comentario. Tres de las vulnerabilidades se localizan en el PSP del procesador. La última, Chimera, tiene que ver con el chipset de ASMedia

      • Hugo Tabra

        nada que ver los parches que amd va a fabricar los van a mandar los fabricantes de los motherborad

        • Dreadnought

          Creo que estás equivocado. Las revisiones del micro código de los Ryzen solo las pueden hacer AMD. Otra cosa es que los fabricantes de placas base tengan que hacer, luego, BIOS para implementar esos cambios

          • Hugo Tabra

            AMD se pronunció oficialmente con la siguiente Nota de Prensa:
            Todos los problemas se pueden confirmar en hardware AMD relacionado, pero requieren acceso de administrador.
            Todos los problemas se establecen para ser arreglados dentro de semanas, no meses, a través de parches de firmware y actualizaciones de BIOS.
            No se espera impacto en el rendimiento.
            Ninguno de estos problemas son específicos de Zen, sino que se relacionan con los conjuntos de chips de PSP y ASMedia.
            Estos no están relacionados con los exploits GPZ

          • Hugo Tabra

            Cuando afirman que requiere acceso de administrador no indican si se tiene que tener físicamente la máquina o no. Porque si es no, cualquier vulnerabilidad primero explota que en Windows se pueda elevar los privilegios a administrador. En Linux quizás sería más difícil.

          • Hugo Tabra

            nunca dije lo contrario amd manda un agesa aa las placas estas de acuerdo a las características de sus placas las adaptan en sus bios, si fuera como dices este seria bios universal, las placas se diferencian.

  • alxSoft

    Bueno está visto que no son las formas y saltó los protocolos en este tipo de situaciones los de CTS-Inside… digo Labs, pero a mi en lo particular me queda la duda de si con las nuevas placas para Ryzen 2 se corrige por completo Quimera!??

    • XeltonicopaGD

      Se supone que el BIOS también corregirá la segunda gen

      • alxSoft

        Si, pero al menos en lo que respecta a la última (Quimera) vulnerabilidad no se corrige 100% se “mitiga” para corregir se requiere de cambios en el HW… por lo demás esta cubierto y se corregirá por BIOS y sin penalización de rendimiento

  • Al Bacione

    ¿En qué quedamos? Se lee por todas partes que es un fake esto de CTS Labs brutal, y que necesitas estar delante físicamente del PC para poder atacarlo. ¿Esto es una broma?

    • Dreadnought

      No es ningún fake, pero sí es verdad que no se pueden implementar esos ataques en remoto: el usuario ha de estar frente al equipo que quiera infectar

  • Hugo Tabra

    son 4 vulnerabilidades no 13 como Intel con su sucursal de Israel decian