AMD promete reparar los fallos de seguridad de Ryzen con actualizaciones de firmware

Alejo I
Ordo Malleus

Staff
24.998 mensajes
desde sep 2000
AMD ha confirmado oficialmente la existencia de más de una decena de vulnerabilidades en sus procesadores Ryzen y los chipsets asociados, asegurando que próximamente lanzará una serie de parches con la intención de eliminarlos o mitigarlos. La noticia llega después de que la semana pasada una startup virtualmente desconocida levantara una polvareda considerable al anunciar el descubrimiento de dichos fallos horas después de notificar a la propia AMD.

Según corrobora AMD, las vulnerabilidades afectan al Platform Security Processor o PSP (también conocido como Procesador Seguro) y el chipset de los procesadores, cuyo diseño fue externalizado a ASMedia, filial de ASUSTeK. Las vulnerabilidades se dividen en las familias Masterkey (Ryzen y Epyc), Ryzenfall (Ryzen, Ryzen Pro y Ryzen Mobile), Fallout (Epyc) y Chimera (Ryzen y Ryzen Pro con chipset Promontory).

La información facilitada por la compañía explica que estas vulnerabilidades serán atajadas con nuevos firmwares que llegarán a lo largo de las próximas semanas y serán instaladas mediante actualizaciones convencionales. En el caso de Chimera, AMD está trabajando con ASMedia para preparar algún tipo solución específica, puesto que esta familia de vulnerabilidades se basa en el uso del procesador y el firmware embebidos en el chipset.

Como señala ArsTechnica, uno de los vectores de ataque utiliza una vulnerabilidad a nivel de hardware, así que es posible que esta vulnerabilidad solo pueda ser mitigada en lugar de solucionada totalmente. Al igual que sucede con el resto, para poder explotarla es necesario tener acceso administrativo al equipo en cuestión, lo que dificulta (aunque no elimina) la labor de posibles atacantes.

AMD afirma que no espera un impacto en el rendimiento de los procesadores a raíz de la aplicación de las actualizaciones, queriendo marcar obvias distancias con Spectre y Meltdown, que en algunos casos (particularmente en procesos muy concretos a nivel de centro de datos) han redundado en una reducción de prestaciones.

Fuente: AMD
davoker
ElChapasXD
8.837 mensajes
desde oct 2006
en Gijon (Asturias)
Editado 3 veces. Última: 21/03/2018 - 13:49:41 por davoker.
Estoy teniendo un déjà vu ahora mismo [qmparto]
El timo de CTS-Labs confirmado.
Lo presentaron como si fuera un Spectre o Meltdown y no tiene nada que ver.

Necesitas modificar el firmware y tener permisos de administrador del SO de turno. Esto es pura rutina.

Spectre y Meltdown no necesitan nada de eso.
Dauragon85
MegaAdicto!!!
11.832 mensajes
desde may 2008
Vaya matraca últimamente con los temas sobre la seguridad de los procesadores......
joakylla
MegaAdicto!!!
679 mensajes
desde dic 2006
en Langley, Virginia
Todo el mundo contra los judios.. contestan diciendo que no y ahora que si..

Y nadie les multará, vende tú algo fallado y te cierran la empresa
Alonso707
MegaAdicto!!!
7.132 mensajes
desde jul 2010
Editado 1 vez. Última: 21/03/2018 - 15:54:32 por Alonso707.
¿Para qué vas a solucionar una vulnerabilidad que necesita acceso administrativo si ya teniendo este acceso puedes hacer lo que quieras con el sistema sin necesidad de "vulnerabilidades"? ¬_¬
Alonso707 escribió:¿Para qué vas a solucionar una vulnerabilidad que necesita acceso administrativo si ya teniendo este acceso puedes hacer lo que quieras con el sistema sin necesidad de "vulnerabilidades"? ¬_¬


Está bien que la solucionen aunque sea difícil explotarla. Pero bueno, que lo principal es que incluso sin la actualización, estas vulnerabilidades son infinitamente menos peligrosas que las de Intel, no es para preocuparse en absoluto.
pcxpsanti
GLOBAL A.D.M.I.N
940 mensajes
desde sep 2006
Editado 6 veces. Última: 21/03/2018 - 19:22:51 por pcxpsanti.
Dauragon85 escribió:Vaya matraca últimamente con los temas sobre la seguridad de los procesadores......


Es que con INTEL habíamos de topar, su avaricia y desprecio por la gente no conoce límites

Desde el primer momento cuando salieron las vulnerabilidades de sus procesadores intentaron meter en el mismo saco a AMD cuando ni de lejos estaban afectados como los Intel. Lo de ahora son vulnerabilidades que normalmente habrían pasado desapercibidas, parche y arreando. Es una campaña de desprestigio contra AMD y como tal busca polémica(de ahí las noticias) y hacer daño, me encanta que hasta hayan creado una web para la ocasión, en la cual, sorpresa, se dedican a echar mierda a cada paso:

-Ponen una lista de soluciones sin soluciones, me encanta la columna "solución comprobada por ellos", les da la opción de seguir tirando mierda cuando saquen el parche
-"¿Está mi organización en riesgo? Si", que digan eso de las de AMD cuando a diferencia de intel estas necesitan permisos de administrador...
-"¿Cuanto tardará en estar disponible una solución? Varios meses", y conscientes de ello no avisaron a AMD ni con 24 horas de antelación
-"¿Que puedo hacer? Contacta con AMD y pídeles una solucion rápida", como si AMD no estuviera ya al tanto y trabajando en la solucion... puta demagogia barata
-"¿Se están utilizando estas vulnerabilidades? No lo sabemos", no hay constancia de ningun caso pero mejor decir que no lo sabemos dejando abierta la posibilidad ¿y lo que decían de que tu organización está en riesgo?

Alonso707 escribió:¿Para qué vas a solucionar una vulnerabilidad que necesita acceso administrativo si ya teniendo este acceso puedes hacer lo que quieras con el sistema sin necesidad de "vulnerabilidades"? ¬_¬


A grosso modo, los programas/virus que puedan entrar en Windows te los cargas formateando/cambiando disco duro o con antivirus, pero si lo meten por ejemplo en la BIOS, dará igual formatees y el antivirus no tiene acceso. Recuerdo un problema con algunos Lenovo que venían de fabrica con una BIOS con malware(no debido a vulnerabilidad), algo que solucionaron mediante actualización de BIOS