Las CPU AMD Ryzen arrancan el año con 31 nuevas vulnerabilidades

AMD no ha arrancado 2023 con muy bien pie, y es que a los problemas de las Radeon RX 7900 XTX, ahora se le suman problemas de vulnerabilidad en sus CPU Ryzen y EPIC. Fue la propia compañía la que anunció que muchos de sus procesadores se han visto comprometidos por medio de 31 nuevas vulnerabilidades.

Las CPU afectadas parten desde los AMD Ryzen 2000, pasando por la gama profesional Ryzen Threadripper 2000 Series. La gama AMD EPYC, para servidores y centros de datos, ve reducidamente reducido el número de vulnerabilidades ligeramente hasta 28.

De estas 28, cuatro fueron catalogadas de "alta gravedad". Esto implica una ejecución arbitraria de código que puede ejecutarse a través de diversos vectores de ataque. Además, una de las tres enumeradas tiene un exploit adicional que permite escribir datos en secciones específicas que conducen a la pérdida de datos. Otros equipos de investigación encontraron otras quince vulnerabilidades de menor gravedad y nueve de gravedad menor.

Ya hay actualizaciones BIOS para mitigar estas vulnerabilidades en los AMD Ryzen

AMD Ryzen 5800U Zen 3 Boost

Que AMD haya anunciado oficialmente el problema es algo positivo, ya que se han dado a conocer cuando la compañía también ha puesto a disposición de los fabricantes de placas base una actualización BIOS para solucionar el problema.

Evidentemente, que el nuevo microcódigo AGESA esté disponible para su descarga dependerá de forma exclusiva del propio fabricante de la placa base o portátiles. Finalmente el soporte final llega por parte del propio fabricante. Esto realmente es un problema, ya que cada usuario tendrá que ir a la web del fabricante de su placa base y buscar si acaban de lanzar una nueva BIOS para parchear las vulnerabilidades.

A esto también se le suma que se desconoce si estas mitigaciones tendrán algún impacto negativo en términos de rendimiento. En el pasado ya sucedió con AMD e Intel, donde una mitigación por software puede implicar destinar recursos para su bloqueo. Esto puede derivar en pérdidas de rendimiento a la hora de jugar o uso profesional.

Estos son todos los procesadores afectados por la vulnerabilidad

1

  • CPUs Ryzen 2000 de sobremesa
  • APUs Ryzen 2000/5000 de sobremesa
  • APUs Ryzen 2000/3000/5000/6000 de portátiles
  • CPUs Athlon 3000 de portátiles
  • Serie Ryzen Threadripper 2000 HEDT y Pro
  • Serie Ryzen Threadripper 3000 HEDT y Pro
  • CPUs AMD EPYC

Hay que tener en cuenta que lista de vulnerabilidades de las CPU AMD Ryzen suelen darse a conocer en los meses de mayo y noviembre. Debido a la gran cantidad de procesadores afectados, y al gran número de vulnerabilidades, AMD retrasó los anuncios para asegurarse que, al hacerlo, ya estuvieran disponibles todas las mitigaciones para adjuntarlas con el aviso de vulnerabilidad. Otras vulnerabilidades  AMD pasan por tener una nueva variante de Hertzbleed, otra que actúa de forma similar al exploit Meltdown y una llamada "Take A Way".

Los chips de AMD son conocidos desde hace mucho tiempo por tener menos vulnerabilidades conocidas que los modelos de Intel. Quien sabe  si los investigadores y los atacantes simplemente se centraron en los procesadores de Intel debido a su participación dominante en el mercado. Los atacantes casi siempre se centran en el sección transversal más amplia posible. En esencia, la misma historia que hemos visto siempre de virus y malware en equipos de Windows. Cuando Apple comenzó a ganar cuota de mercado, el aumento de ataques fue de la mano.