Placas base

SMM: Los CPUs APU Ryzen son afectados por una nueva vulnerabilidad

AMD reveló la vulnerabilidad de escalada de privilegios SMM (SMM Callout Privilege Escalation), que se conoce como la vulnerabilidad CVE-2020-12890 que afecta AMD y a las APU embebidas que salieron entre 2016 y 2019.

AMD reveló la vulnerabilidad de escalada de privilegios SMM

SMM Callout Privilege Escalation fue descubierto mediante una investigación de seguridad de Danny Odler. SMM permite a un atacante con acceso físico o administrativo al sistema de la víctima manipular el microcódigo de la Arquitectura de Software Encapsulado Genérico (AMD Generic Encapsulated Software Architecture) AGESA de AMD dentro del firmware de la placa base. Esto permite la ejecución de código malicioso que no es detectable por el sistema operativo.

Afortunadamente, esta vulnerabilidad puede ser mitigada con una simple actualización del microcódigo, que aparentemente no tiene un impacto en el rendimiento del sistema. AMD ya ha distribuido versiones actualizadas de sus microcódigos AGESA a sus socios de la placa base y entregará las versiones restantes a finales de este mes.

Como de costumbre, AMD recomienda a los usuarios que actualicen sus sistemas con el último firmware una vez que estén disponible.

Visita nuestra guía sobre las mejores placas base del mercado

Como se describe anteriormente, para explotar esta vulnerabilidad, se debe tener acceso físico al ordenador y no se puede hacer de manera remota, lo que limita bastante las posibilidades de que pueda ser explotado con malas intenciones.

[irp]

En las últimas semanas hemos visto otras vulnerabilidades salir a la luz, como CrossTalk, que afecta a CPUs Intel, y SLS que afecta a dispositivos ARM.

Fuente
tomshardware

Gustavo Gamarra

Soy operador de PC e instalador de redes informáticas , redactor y escritor en mis ratos libres. Amante de la tecnología, el cine, el fútbol y los videojuegos.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en info@profesionalreview.com
Botón volver arriba