AMD finalmente ha confirmado las fallas anunciadas por CTS-Labs, pero también ha minimizado su gravedad. La compañía prometió publicar correcciones a través de parches de firmware en breve.
CTS-Labs es una pequeña empresa de seguridad que se hizo famosa después de hacer pública 13 fallos de seguridad que afectan a las familias de procesadores de AMD basados en Zen. Esto sucedió después de que CTS-Labs alertó a la compañía en privado y cuando se emitió un déficit sustancial de acciones de AMD.
Aquí están las vulnerabilidades alegadas, de acuerdo con AMD
Los defectos conocidos como Ryzenfall, Masterkey, Fallout y Chimera provocaron controversia sobre su gravedad y validez. Todo el mundo tenía curiosidad por saber qué piensa hacer AMD al respecto. AMD emitió la primera declaración en la que confirma las fallas pero dice que tienen un impacto menos severo que el presentado anteriormente por la empresa de seguridad. AMD también mencionó la vulnerabilidad de Spectre que está relacionada con los defectos de diseño en la microarquitectura Zen a diferencia de los mencionados anteriormente.
Mark Papermaster de AMD declaró que los defectos encontrados por CTS-Labs están asociados con el firmware que gestiona el procesador de control de seguridad integrado en algunos productos AMD y el chipset utilizado en algunas plataformas de escritorio de socket AM4 y socket TR4 que soportan CPUs AMD.
AMD dijo que todas estas cuestiones requieren un acceso administrativo al sistema que permita al usuario un acceso sin restricciones y el derecho a eliminar, crear o modificar cualquiera de los datos del sistema. Los atacantes habrían incrementado el poder de las hazañas. AMD también dijo que los Oss modernos tienen controles de seguridad adecuados para evitar que esto ocurra.
AMD confirma que liberará correcciones
La compañía prometió que publicaría correcciones para todos estos problemas lo antes posible a través de actualizaciones de firmware. Estos tendrán que ser integrados en las actualizaciones procedentes de cada fabricante de placas base y para cada modelo. En otras palabras, las correcciones probablemente necesitarán mucho tiempo y los productos afectados no recibirán los parches tan pronto como se esperaba. Esto no afectará al rendimiento ni a la funcionalidad de los sistemas afectados. AMD concluyó diciendo que estos defectos son definitivamente menos fáciles de explotar en comparación con los de Spectre y Meltdown.