Hace unos días AMD anunció que hay una vulnerabilidad en sus controladores Radeon que no podrá solucionar hasta el primer trimestre de 2021, y ahora ha indicado que sí ha podido resolver otro gracias a la información proporcionada por Cisco Talos. Tiene el código CVE-2020-12933, y tiene que ver con una llamada a la biblioteca D3DKMTEscape que intercambia información con el controlador de pantalla que, modificada de una manera especial, provoca una lectura fuera de límites en el núcleo de Windows.
El resultado es que produce un pantallazo azul y puede ser disparado por una cuenta sin privilegios. En este caso la compañía no estima que sea un problema de seguridad a largo plazo, y la forma de solucionarlo es simplemente reiniciando al equipo. Las lecturas fuera de los límites de memoria asignados suelen ser problemáticos, pero de momento no parece que hayan encontrado la forma de encadenar este fallo con algún otro para comprometer el sistema.
Por otro lado, la utilidad Ryzen Master tiene una vulnerabilidad que ha sido mitigada en la versión 2.2.0.1543, y en este caso hay que poner la atención en el «mitigada». Eso significa que puede no estar resuelto, pero que según la información que tiene AMD sí debería estarlo. Se trata de la vulnerabilidad con código CVE-2020-12928. El fallo permite que el usuario autenticado pueda obtener privilegios de administrador. AMD no ha comprobado que se pueda activar el fallo remotamente, y tiene que ver con la ejecución de un proceso especial modificado sin privilegios antes de lanzar Ryzen Master. Este fallo huele peor que el resto, pero en principio la compañía cree que está mitigado.
