AMD
Un error revelado recientemente en muchos de los procesadores de servidor, estaciones de trabajo y consumidores más nuevos de AMD puede hacer que los chips pierdan datos a una velocidad de hasta 30 kilobytes por núcleo por segundo. escribe Tavis Ormandy, miembro del equipo de seguridad Project Zero de Google. Ejecutada correctamente, la vulnerabilidad llamada “Zenbleed” (CVE-2023-20593) podría brind ar a los atacantes acceso a claves de cifrado y contraseñas de root y de usuario, junto con otros datos confidenciales de cualquier sistema que use una CPU basada en la arquitectura Zen 2 de AMD.
El error permite a los atacantes robar datos de los registros de una CPU. Los procesadores modernos intentan acelerar las operaciones adivinando qué se les pedirá que hagan a continuación, lo que se denomina “ejecución especulativa”. Pero a veces la CPU adivina mal; Los procesadores Zen 2 no se recuperan correctamente de ciertos tipos de predicciones erróneas, que es el error que explota Zenbleed para hacer su trabajo.
La mala noticia es que el exploit no requiere acceso al hardware físico y puede activarse cargando JavaScript en un sitio web malicioso. La buena noticia es que, al menos por ahora, no parece haber ningún caso de que este error se explote en la naturaleza todavía, aunque esto podría cambiar rápidamente ahora que se ha revelado la vulnerabilidad, y el error requiere un tiempo preciso para explotar.
“AMD no tiene conocimiento de ningún exploit conocido de la vulnerabilidad descrita fuera del entorno de investigación”, dijo la empresa. le dijo a la ferretería de tom
Dado que la vulnerabilidad está en el hardware, una actualización de firmware de AMD es la mejor manera de solucionarlo por completo; Ormandy dice que también se puede reparar a través de una actualización de software, pero “puede tener algún costo de rendimiento”. El error afecta a todos los procesadores basados en la arquitectura Zen 2 de AMD, incluidos varios procesadores de escritorio y portátiles Ryzen, chips de la serie EPYC 7002 para servidores y CPU de la serie Threadripper 3000 y 3000 Pro WX para estaciones de trabajo.
AMD tiene ya emitió una actualización de firmware mitigar el problema de los servidores que ejecutan los chips EPYC 7002, posiblemente el más importante de los parches, ya que un servidor ocupado que ejecuta varias máquinas virtuales es un objetivo más lucrativo para los piratas informáticos que las PC de los consumidores individuales.
AMD dice que “cualquier impacto en el rendimiento variará según la carga de trabajo y la configuración del sistema”, pero no ha proporcionado detalles adicionales.
¿Cuándo recibiré un parche?
La arquitectura Zen 2 llegó por primera vez a los sistemas de consumo hace unos cuatro años en forma de la serie AMD Ryzen 3000; el Ryzen 5 3600 fue especialmente popular entre los constructores de PC. Pero el hábito de AMD de mezclar y combinar arquitecturas de procesadores en las últimas generaciones de CPU significa que también hay algunos chips Zen 2 salpicados en las líneas Ryzen 4000, 5000 y 7000, lo que afecta tanto a algunos sistemas nuevos como a los más antiguos.
| UPC | Liberado | Arreglo planeado | Versión AGESA con correcciones |
|---|---|---|---|
| Ryzen 3000 (escritorio) | Mediados de 2019 | diciembre 2023 | ComboAM4v2PI_1.2.0.C |
| Ryzen 4000G (escritorio) | Mediados de 2020 | diciembre 2023 | ComboAM4v2PI_1.2.0.C |
| Ryzen 4000 (portátil) | Principios-mediados de 2020 | noviembre 2023 | RenoirPI-FP6_1.0.0.D |
| Ryzen 5700U/5500U/5300U (portátil) | Principios de 2021 | diciembre 2023 | CézannePI-FP6_1.0.1.0 |
| Ryzen 7020 (portátil) | finales de 2022 | diciembre 2023 | MendocinoPI-FT6_1.0.0.6 |
| Ryzen Threadripper 3000 | finales de 2019 | octubre 2023 | CastlePeakPI-SP3r3 1.0.0.A |
| Ryzen Threadripper Pro 3000WX | Mediados de 2020 | noviembre/diciembre 2023 | CastlePeakWSPI-sWRX8 1.0.0.C/ChagallWSPI-sWRX8 1.0.0.7 |
| EPYC7002 | Mediados de 2019 | Parche disponible | RomaPI 1.0.0.H |
Si usa procesadores de escritorio Ryzen, todos los chips de la serie Ryzen 3000 y Ryzen 4000G (pero no Ryzen 3000G, que usa una versión anterior de Zen) son vulnerables a Zenbleed. AMD planea lanzar una corrección de firmware para diciembre, aunque el fabricante de su placa base o PC será responsable de distribuir la actualización.
Las computadoras portátiles son un poco más complicadas. La mayoría de las CPU de las computadoras portátiles de la serie Ryzen 4000 usan Zen 2, y AMD planea tener una actualización lista para noviembre. Muchas de las CPU de las computadoras portátiles de la serie Ryzen 5000 hicieron la transición a Zen 3, pero Ryzen 7 5700U, Ryzen 5 5500U y Ryzen 3 5300U continuaron usando Zen 2. Y las CPU de la serie Ryzen 7020 lanzadas a fines de 2022 para sistemas económicos también usan Zen 2. AMD planea lanzar una actualización para los chips de las series 5000 y 7000 en diciembre .
AMD planea lanzar una actualización para los sistemas de la serie Threadripper 3000 en octubre y arreglos para los sistemas de la serie Threadripper Pro 3000WX en noviembre y diciembre.