Gadgetshowto
Hace poco más de una semana que la startup israelí de ciberseguridad CTS Labs publicó su documento técnico sobre la larga lista de vulnerabilidades denominadas 'AMDFlaws' que afectan a las líneas de CPU de AMD EPYC, Ryzen, Ryzen Pro y Ryzen Mobile. El informe logró crear un gran revuelo entre los analistas de seguridad cibernética y los conocedores de la industria, y muchos de ellos criticaron a la empresa con sede en Tel Aviv por revelar las vulnerabilidades públicamente solo un día después de notificar a AMD sobre ellas, cegando por completo al fabricante de chips..
Algunos, como el gurú de la tecnología y el creador del kernel de Linux, Linus Torvalds, incluso han ido tan lejos como para cuestionar los hallazgos en sí mismos, llamando al aviso de seguridad 'basura', y diciendo eso "Parece que el mundo de la seguridad de TI ha alcanzado un nuevo mínimo". Sin embargo, otros, como el reputado analista de seguridad cibernética, Dan Guido, dijeron que él y su equipo revisaron las fallas y las encontraron muy reales, independientemente de todo el bombo y la controversia que las rodea..
Por su parte, AMD dijo que investigará el informe. "Para comprender la metodología y el mérito de los hallazgos". Ahora, la compañía ha publicado un comunicado confirmando las 13 vulnerabilidades detalladas por CTS y ha prometido emitir parches para todas ellas en las próximas semanas. La compañía agregó además que no espera ninguna degradación del rendimiento debido a las actualizaciones inminentes..
La declaración completa destaca el nivel de dificultad y acceso necesarios para realizar los trucos descritos en el descubrimiento de CTS Labs "Es importante señalar que todas las cuestiones planteadas en la investigación requieren acceso administrativo al sistema, un tipo de acceso que efectivamente otorga al usuario acceso irrestricto al sistema y el derecho a eliminar, crear o modificar cualquiera de las carpetas o archivos en el computadora, así como cambiar cualquier configuración.”AMD agregó además que cualquier persona que pueda obtener acceso administrativo no autorizado puede ejecutar ataques de mayor gravedad que los identificados por CTS Labs..
Según AMD, los problemas se solucionarán con parches de firmware y actualizaciones de BIOS en las próximas semanas., "No meses". La compañía también dijo que ninguno de estos problemas es específico de Zen, sino que se relaciona con los conjuntos de chips PSP y ASMedia. Las fallas aparentemente tampoco están relacionadas con las vulnerabilidades Meltdown y Spectre que crearon tanta confusión en los últimos meses.
