Descubierta nuevas vulnerabilidades en procesadores AMD Zen+ y Zen2 que podrían causar el robo de datos si se explotan

Las vulnerabilidades en un hardware/software es algo muy común. Hace unos años, los procesadores Intel y AMD se vieron afectados por una serie de vulnerabilidades denominadas Meltdown y Specter. Si bien es cierto que ambas fueron corregidas ya en su momento con diversas actualizaciones de drivers, los problemas causados fueron bastante graves. Cuando todo parecía que estos problemas habían desaparecido con las nuevas arquitecturas, aparecen nuevas vulnerabilidades. En este caso le ha tocado la china a la gama de procesadores AMD Zen+ y Zen2. Los encargados de su descubrimiento han sido Investigadores en Ciberseguridad de la Universidad Tecnológica de Dresde (Alemania). La vulnerabilidad descubierta, llamada «ejecución transitoria de accesos no canónicos» ha sido catalogada como CVE-2020-12965; en el boletín de seguridad de AMD recibe la denominación «AMD-SB-1010«. Descubierta nuevas vulnerabilidades en procesadores AMD Zen+ y Zen2.

La nueva vulnerabilidad se descubrió en octubre de 2020 por los investigadores (Saidgani Musaev y Christof Fetzer), momento en el cual la reportaron. Desde entonces, la compañía de Santa Clara ha estado trabajando en corregirla. Según la información ofrecida, esta vulnerabilidad usa un novedoso método para forzar el flujo de datos entre elementos dentro de la arquitectura de las CPU AMD. Para ello, usa una combinación de secuencias de software no especificas que los procesadores de AMD las ejecutan de forma puntual como cargas no canónicas. En el caso en que el procesador se vea afectado por la vulnerabilidad, la consecuencia más grave puede ser un robo de datos. Al parecer, esta nueva vulnerabilidad en procesadores AMD Zen+ y Zen2 es muy similar a Meltdown. Eso sí, esta nueva arquitectura es inmune a los efectos de Meltdown, por lo que este problema está más que resuelto.

¿Qué gama de procesadores se han visto afectados?

Los procesadores afectados son: EPYC 7262 de arquitectura Zen2 y los Ryzen 7 2700X y Threadripper 2990WX basados en la arquitectura Zen+. Evidentemente, se trata de una vulnerabilidad bastante grave, sobre todo en aquellos sistemas que comparten máquinas virtuales o son sistemas de acceso público. En principio, el usuario doméstico no debería verse afectado por esta vulnerabilidad. De todas formas, siempre es recomendable mantener actualizados los drivers que controlan la BIOS de la CPU. Hay que estar pendientes de las nuevas versiones si no queremos tener problemas. No es la primera vez que vemos vulnerabilidad graves en procesadores, bien de AMD o de Intel, y seguramente no sea la última. La falta de testeos pueden causar graves riesgos a los usuarios que compran productos de esta clase.