Las arquitecturas Zen se ven afectadas por cuatro vulnerabilidades, y AMD soluciona Zenbleed ocho meses después

AMD tuvo una situación incómoda de seguridad el año pasado con la vulnerabilidad Zenbleed porque la ha dejado sin corregir durante meses en muchos procesadores. Las buenas noticias es que finalmente la ha parcheado en casi todos los procesadores Zen 2, y solo ha tardado ocho meses en hacerlo. Es una vulnerabilidad importante porque es remota y puede extraer datos de claves y otra información privada. Las malas noticias es que la solución llega junto con el anuncio de nuevas vulnerabilidad que afectan a la mayoría de los procesadores de la compañía.

AMD lo ha indicado en su web, y las cuatro vulnerabilidades desveladas son de alta severidad, por lo que tendrían que corregirse cuanto antes. La compañía está en ello. Tiene los códigos CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 y CVE-2023-20587, y afectan al SPI (interfaz periférica serie) que conecta con el chip donde se guarda la UEFI, aunque se la siga llamando BIOS. Las vulnerabilidades anteriores afectan a distintas generaciones de la arquitectura Zen, por lo que no hay ninguna que se vea afectada por las cuatro a la vez.

La alta severidad proviene de que se pueden explotar remotamente para aumentar los privilegios del usuario y ejecutar código arbitrario. Puesto que es un problema de la arquitectura Zen, afectan tanto a los Ryzen como a los EPYC. De hecho la CVE-2023-20587 afecta a los EPYC y no a los Ryzen, y en esto último incluye a los Ryzen Threadripper. Se puede consultar la web de AMD para ver qué vulnerabilidades afectan a qué procesadores.

AMD ha distribuido nuevas versiones de AGESA, el código mínimo de funcionamiento que proporciona AMD a sus socios fabricantes de placas base para que creen la UEFI. Algunas versiones de AGESA fueron proporcionadas desde incluso mayo del año pasado, por aquello de solucionar también Zenbleed, y que también muestra que AMD no se ha preocupado mucho en solucionarlas. Otras versiones de AGESA han sido proporcionadas hace solo una semana, por lo que tardarán semanas o meses en distribuirse los BIOS actualizados que solucionan estas vulnerabilidades.

Vía: Tom's Hardware.