CTS Labs envió a AMD y sus socios los códigos de prueba que confirmarían las vulnerabilidades de Zen

CTS Labs, la compañía de investigación de seguridad de TI con sede en Israel, se encuentra dentro del ojo del huracán tras haber dado a conocer unas vulnerabilidades en la seguridad de la arquitectura AMD Zen que afecta a los procesadores Ryzen, Threadripper y EPYC.

Tras ponerse en duda la veracidad de la información, la empresa reveló a TechPowerUp que ha enviado a AMD, junto a sus socios Microsoft, HP, Dell, Symantec, FireEye y Cisco Systems, un “paquete completo de investigación“, que incluye “informes técnicos completos sobre las vulnerabilidades“, “código de explotación funcional de prueba de concepto” y “instrucciones sobre cómo reproducir cada vulnerabilidad” para ayudarlos a desarrollar parches para su mitigación.

Una práctica no escrita pero generalmente aceptada en la industria de seguridad de TI al descubrir tales vulnerabilidades, es que los investigadores le den a las compañías en cuestión al menos 90 días de plazo para diseñar un parche de software, fortalecer la infraestructura o implementar otras medidas de mitigación. 90 días difiere mucho con las 24 horas que AMD obtuvo de CTS Labs.

AMD Ryzen Ryzenfall Masterkey Fallout y Chimera 740x289 0

CTS Labs confirmó a TechPowerUp que, de hecho, compartió su paquete de investigación con AMD (y las otras compañías) solo 24 horas antes de hacer público su informe, pero instó a aquellos descontentos con esta decisión a mirar la situación objetivamente:

Si miras la situación de la siguiente manera: en este momento el público conoce las vulnerabilidades y sus implicaciones, AMD está completamente informado y desarrollando parches, y las principales compañías de seguridad también están informadas y trabajando en la mitigación“.

Esto contrasta con la consecuencia involuntaria de mantener a Meltdown / Spectre fuera del dominio público durante más de medio año, lo que permite a los altos ejecutivos de Intel deshacerse de las acciones de la compañía y a los grandes proveedores de computación en la nube fortalecer su infraestructura, dándose una ventaja competitiva sobre proveedores más pequeños.

Pero a diferencia de Meltdown / Spectre, estas vulnerabilidades no afectan a toda la industria (es decir, no afectan a Intel), lo que coloca a AMD en desventaja tanto en los mercados bursátiles como en los mercados minoristas, lo que se traduce en realizar un movimiento enfocado únicamente a devaluar el valor de la empresa.

Artículos relacionados