CreateAllocation, AMD descubre vulnerabilidad en sus controladores gráficos

Se ha descubierto una vulnerabilidad de negación de servicio en los controladores de Radeon Software de AMD denominado CreateAllocation, que si es atacada puede provocar un crasheo del sistema pero no afecta de ninguna manera a información confidencial.

CreateAllocation, AMD descubre vulnerabilidad en sus controladores gráficos

Cisco’s Talos descubrieron una vulnerabilidad de negación de servicio en los controladores de Radeon Software de AMD, una vulnerabilidad a la que llamaron CreateAllocation (CVE-2020-12911).

CreateAllocation puede ser usado por un atacante para colapsar el sistema completamente, pero AMD cree que una mayor explotación no es posible. La compañía planea abordar la vulnerabilidad en el primer trimestre de 2021.

Visita nuestra guía sobre las mejores tarjetas gráficas del mercado.

Es la propia AMD quien ha revelado que hay una vulnerabilidad presente en el controlador de gráficos que alimenta las GPU y las hace funcionar en los sistemas. CreateAllocation (CVE-2020-12911) está marcada con una puntuación de 7.1 en los resultados de la prueba CVSSv3, lo que significa que no es una prioridad máxima, sin embargo, sigue representando un gran problema.

«Existe una vulnerabilidad de negación de servicio D3DKMTCreateAllocation de AMD ATIKMDAG.SYS 26.20.15029.27017. Una solicitud de API de D3DKMTCreateAllocation especialmente elaborada puede causar una lectura fuera de límites y una denegación de servicio (BSOD). Esta vulnerabilidad puede ser activada desde una cuenta de invitado», dice el informe sobre la vulnerabilidad. AMD comenta la solución temporal es simplemente reiniciar el ordenador si se produce un BSOD. La compañía también declara que «la información confidencial y la funcionalidad del sistema a largo plazo no se ven afectadas».

[irp]

AMD planea publicar una solución para este problema de software en el primer trimestre del año 2021 con unos controladores actualizados. En la práctica no representa un peligro para los usuarios y probablemente no llegue a ser explotado. Puedes leer más sobre ello aquí. Os mantendremos informados.