AMD responde sobre las vulnerabilidades descubiertas en CPUs Ryzen

AMD ha sido golpeada con significativamente menos reportes de vulnerabilidades que Intel, pero un puñado han salido a la superficie. Hace unos días comentamos sobre las vulnerabilidades que fueron descubiertas por la Universidad Tecnológica de Graz que publicaron su hallazgo en un documento llamado Take A Way, donde se detallan los ataques Collide+Probe y Load+Reload.

AMD niega que se trate de ataques de ejecución especulativa

En este caso, con respecto al libro blanco de Take A Way, AMD afirma que «estos no son nuevos ataques basados en predicción especulativa» y no han lanzado ninguna actualización de software en respuesta debido a esto.

El sitio ZDNet está informando que están en contacto con los investigadores, quienes afirman que el ataque todavía funciona en máquinas actualizadas. Los investigadores también afirman que han probado el exploit en motores JavaScript para Chrome y Firefox, así como a través de un hipervisor (para entornos virtualizados, como los servidores en la nube).

No está claro si AMD o los investigadores están en lo cierto hasta que AMD libere un parche, o alguien libere un exploit utilizando estos métodos. En cualquier caso, los investigadores también afirman que la cantidad de datos que pueden ser filtrados es pequeña. Aunque afirman que puede funcionar en escenarios del mundo real, eso no significa que valga la pena hacerlo en escenarios del mundo real.

Aun así, si funciona y puede ser parcheado, entonces debería ser arreglado.

Este es el comunicado oficial de AMD:

Estamos al tanto de un nuevo reporte que afirma potenciales exploits de seguridad en las CPU de AMD, por medio de los cuales se podría manipular una característica relacionada con el caché para potencialmente transmitir datos de usuarios de una manera no intencional. Los investigadores entonces emparejan esta ruta de datos con software conocido y mitigado o vulnerabilidades de canal lateral de ejecución especulativa. AMD cree que no se trata de nuevos ataques basados en la especulación.

AMD sigue recomendando las siguientes mejores prácticas para ayudar a mitigar los problemas del canal lateral:

• Mantener el sistema operativo actualizado operando con las últimas actualizaciones y el firmware de la plataforma, que incluyen las mitigaciones existentes para las vulnerabilidades basadas en la especulación
• Siguiendo metodologías de codificación segura
• Implementar las últimas versiones parcheadas de las bibliotecas críticas, incluyendo aquellas susceptibles de ataques de canal lateral
• Utilizando prácticas informáticas seguras y ejecutar un software antivirus

Así finaliza lo comentado por AMD sobre el tema, minimizando totalmente el impacto de estas vulnerabilidades. Os mantendremos informados en cuanto sepamos más.