AMD ha confirmado las vulnerabilidades que afectan a sus procesadores AMD Zen, es decir, las CPUs/APUs AMD Ryzen y CPUs AMD Threadripper y AMD EPYC. Se trata de unas vulnerabilidades no tran graves, ya que para todas ellas se requiere de acceso físico al equipo además de tener acceso a nivel de administrador, y este nivel te da acceso ilimitado al sistema.




Lo que realmente ha sido un problema fue que CTS Labs no se adhirió a la norma de cortesía no escrita de avisar a la compañía afectada dando un tiempo estándar de 60 a 90 días para reaccionar, viendo como el plazo ofrecido fue de tan sólo 24 horas y sin documentar las vulnerabilidades, por lo que todo indicaba un ataque directo a AMD para perjudicar su valor en bolsa en vez de ayudar a la compañía a resolver un problema que presenta, en una escala de 0 a 100 puntos, un riesgo valorado en 0 puntos.



AMD se pronunció oficialmente con la siguiente Nota de Prensa:

• Todos los problemas se pueden confirmar en hardware AMD relacionado, pero requieren acceso de administrador.

• Todos los problemas se establecen para ser arreglados dentro de semanas, no meses, a través de parches de firmware y actualizaciones de BIOS.

• No se espera impacto en el rendimiento.

• Ninguno de estos problemas son específicos de Zen, sino que se relacionan con los conjuntos de chips de PSP y ASMedia.

• Estos no están relacionados con los exploits GPZ a principios de este año.

 AMD promete reparar los fallos de seguridad de Ryzen con actualizaciones de firmware

 AMD ha confirmado oficialmente la existencia de más de una decena de vulnerabilidades en sus procesadores Ryzen y los chipsets asociados, asegurando que próximamente lanzará una serie de parches con la intención de eliminarlos o mitigarlos. La noticia llega después de que la semana pasada una startup virtualmente desconocida levantara una polvareda considerable al anunciar el descubrimiento de dichos fallos horas después de notificar a la propia AMD.

Según corrobora AMD, las vulnerabilidades afectan al Platform Security Processor o PSP (también conocido como Procesador Seguro) y el chipset de los procesadores, cuyo diseño fue externalizado a ASMedia, filial de ASUSTeK. Las vulnerabilidades se dividen en las familias Masterkey (Ryzen y Epyc), Ryzenfall (Ryzen, Ryzen Pro y Ryzen Mobile), Fallout (Epyc) y Chimera (Ryzen y Ryzen Pro con chipset Promontory).

La información facilitada por la compañía explica que estas vulnerabilidades serán atajadas con nuevos firmwares que llegarán a lo largo de las próximas semanas y serán instaladas mediante actualizaciones convencionales. En el caso de Chimera, AMD está trabajando con ASMedia para preparar algún tipo solución específica, puesto que esta familia de vulnerabilidades se basa en el uso del procesador y el firmware embebidos en el chipset.

Como señala ArsTechnica, uno de los vectores de ataque utiliza una vulnerabilidad a nivel de hardware, así que es posible que esta vulnerabilidad solo pueda ser mitigada en lugar de solucionada totalmente. Al igual que sucede con el resto, para poder explotarla es necesario tener acceso administrativo al equipo en cuestión, lo que dificulta (aunque no elimina) la labor de posibles atacantes.

AMD afirma que no espera un impacto en el rendimiento de los procesadores a raíz de la aplicación de las actualizaciones, queriendo marcar obvias distancias con Spectre y Meltdown, que en algunos casos (particularmente en procesos muy concretos a nivel de centro de datos) han redundado en una reducción de prestaciones.

Fuentes:
https://www.elotrolado.net/noticia_amd-promete-reparar-los-fallos-de-seguridad-de-ryzen-con-actualizaciones-de-firmware_35605
https://elchapuzasinformatico.com/2018/03/amd-vulnerabilidades-zen-mucho-ruido-pocas-nueces/