Error de ruptura de cifrado y fuga de contraseña en muchas CPU AMD podría tardar meses en solucionarse
Error de ruptura de cifrado y fuga de contraseña en muchas CPU AMD podría tardar meses en solucionarse
Expand
AMD
Un error revelado recientemente en muchos de los nuevos procesadores de consumo, estaciones de trabajo y servidores de AMD puede filtrar datos de los chips a una velocidad de hasta 30 kilobytes por núcleo por segundo, escribe Tavis Ormandy, miembro del equipo de seguridad Project Zero de Google. Ejecutada correctamente, la vulnerabilidad denominada "Zenbleed" (CVE-2023-20593) podría permitir a los atacantes acceder a claves de cifrado y contraseñas de root y de usuario, así como a otros datos confidenciales desde cualquier sistema que utilice un procesador basado en la arquitectura Zen 2 de AMD.
El error permite a los atacantes escanear datos de los registros de un procesador. Los procesadores modernos intentan acelerar las operaciones adivinando qué se les pedirá que hagan a continuación, lo que se denomina "ejecución especulativa". Pero a veces la CPU falla; Los procesadores Zen 2 no se recuperan correctamente de ciertos tipos de errores de predicción, que es el error que explota Zenbleed para hacer su trabajo.
La mala noticia es que el exploit no requiere acceso al hardware físico y puede activarse cargando JavaScript en un sitio web malicioso. La buena noticia es que, al menos en este momento, no parece haber ningún caso de que este error se explote en la naturaleza todavía, aunque eso podría cambiar rápidamente ahora que se ha revelado la vulnerabilidad y el error requiere un tiempo preciso para explotar.
"AMD no tiene conocimiento de ninguna explotación conocida de la vulnerabilidad descrita fuera del entorno de investigación", dijo la empresa a Tom's Hardware. La empresa de redes Cloudflare también afirma que "no hay evidencia de que se esté explotando el error" en sus servidores.
Dado que la vulnerabilidad es de hardware y no de software, una actualización de firmware de AMD es la mejor manera de solucionarlo por completo; Ormandy dice que también se puede reparar a través de una actualización de software, pero eso "puede tener algún costo de rendimiento". El error afecta a todos los procesadores basados en la arquitectura Zen 2 de AMD, incluidos varios procesadores Ryzen para computadoras de escritorio y portátiles, chips de la serie EPYC 7002 para servidores y procesadores de la serie Threadripper 3000 y 3000 Pro WX para estaciones de trabajo.
AMD ya lanzó una actualización de firmware que mitiga el problema de los servidores que ejecutan los chips EPYC 7002, posiblemente la solución más importante, ya que un servidor ocupado que ejecuta varias máquinas virtuales es un objetivo más lucrativo para los piratas informáticos que las PC individuales.
AMD dice "Cualquier impacto en el rendimiento variará según la carga de trabajo y la configuración del sistema", pero no proporcionó detalles adicionales.
¿Cuándo recibiré un parche?
La arquitectura Zen 2 apareció por primera vez en los sistemas de consumo hace unos cuatro años en la forma de la serie AMD Ryzen 3000; el Ryzen 5 3600 fue particularmente popular entre los constructores de PC. Pero el hábito de AMD de mezclar y combinar arquitecturas de CPU en las últimas generaciones de CPU significa que también hay chips Zen 2 en las líneas Ryzen 4000, 5000 y 7000, lo que afecta tanto a algunos sistemas más nuevos como a los más antiguos.
UPC
Liberado
Arreglo planeado
Versión AGESA con parches
Ryzen 3000 (escritorio)
Mediados de 2019
diciembre 2023
ComboAM4v2PI_1.2.0.C
Ryzen 4000G (escritorio)
Mediados de 2020
diciembre 2023
ComboAM4v2PI_1.2.0.C
Ryzen 4000 (portátil)
Principios-mediados de 2020
noviembre 2023
RenoirPI-FP6_1.0.0.D
Ryzen 5700U/5500U/5300U (portátil)
Principios de 2021
diciembre 2023
CézannePI-FP6_1.0.1.0
Ryzen 7020 (portátil)
Finales de 2022
diciembre 2023
MendocinoPI-FT6_1.0.0.6
Ryzen Threadripper 3000
Finales de 2019
octubre 2023
CastlePeakPI-SP3r3 1.0.0.A
Ryzen Threadripper Pro 3000WX
Mediados de 2020
noviembre/diciembre 2023
CastlePeakWSPI-sWRX8 1.0.0.C / ChagallWSPI-sWRX8 1.0.0.7
EPYC7002
Mediados de 2019
...
Un error revelado recientemente en muchos de los nuevos procesadores de consumo, estaciones de trabajo y servidores de AMD puede filtrar datos de los chips a una velocidad de hasta 30 kilobytes por núcleo por segundo, escribe Tavis Ormandy, miembro del equipo de seguridad Project Zero de Google. Ejecutada correctamente, la vulnerabilidad denominada "Zenbleed" (CVE-2023-20593) podría permitir a los atacantes acceder a claves de cifrado y contraseñas de root y de usuario, así como a otros datos confidenciales desde cualquier sistema que utilice un procesador basado en la arquitectura Zen 2 de AMD.
El error permite a los atacantes escanear datos de los registros de un procesador. Los procesadores modernos intentan acelerar las operaciones adivinando qué se les pedirá que hagan a continuación, lo que se denomina "ejecución especulativa". Pero a veces la CPU falla; Los procesadores Zen 2 no se recuperan correctamente de ciertos tipos de errores de predicción, que es el error que explota Zenbleed para hacer su trabajo.
La mala noticia es que el exploit no requiere acceso al hardware físico y puede activarse cargando JavaScript en un sitio web malicioso. La buena noticia es que, al menos en este momento, no parece haber ningún caso de que este error se explote en la naturaleza todavía, aunque eso podría cambiar rápidamente ahora que se ha revelado la vulnerabilidad y el error requiere un tiempo preciso para explotar.
"AMD no tiene conocimiento de ninguna explotación conocida de la vulnerabilidad descrita fuera del entorno de investigación", dijo la empresa a Tom's Hardware. La empresa de redes Cloudflare también afirma que "no hay evidencia de que se esté explotando el error" en sus servidores.
Dado que la vulnerabilidad es de hardware y no de software, una actualización de firmware de AMD es la mejor manera de solucionarlo por completo; Ormandy dice que también se puede reparar a través de una actualización de software, pero eso "puede tener algún costo de rendimiento". El error afecta a todos los procesadores basados en la arquitectura Zen 2 de AMD, incluidos varios procesadores Ryzen para computadoras de escritorio y portátiles, chips de la serie EPYC 7002 para servidores y procesadores de la serie Threadripper 3000 y 3000 Pro WX para estaciones de trabajo.
AMD ya lanzó una actualización de firmware que mitiga el problema de los servidores que ejecutan los chips EPYC 7002, posiblemente la solución más importante, ya que un servidor ocupado que ejecuta varias máquinas virtuales es un objetivo más lucrativo para los piratas informáticos que las PC individuales.
AMD dice "Cualquier impacto en el rendimiento variará según la carga de trabajo y la configuración del sistema", pero no proporcionó detalles adicionales.
¿Cuándo recibiré un parche?
La arquitectura Zen 2 apareció por primera vez en los sistemas de consumo hace unos cuatro años en la forma de la serie AMD Ryzen 3000; el Ryzen 5 3600 fue particularmente popular entre los constructores de PC. Pero el hábito de AMD de mezclar y combinar arquitecturas de CPU en las últimas generaciones de CPU significa que también hay chips Zen 2 en las líneas Ryzen 4000, 5000 y 7000, lo que afecta tanto a algunos sistemas más nuevos como a los más antiguos.
UPC
Liberado
Arreglo planeado
Versión AGESA con parches
Ryzen 3000 (escritorio)
Mediados de 2019
diciembre 2023
ComboAM4v2PI_1.2.0.C
Ryzen 4000G (escritorio)
Mediados de 2020
diciembre 2023
ComboAM4v2PI_1.2.0.C
Ryzen 4000 (portátil)
Principios-mediados de 2020
noviembre 2023
RenoirPI-FP6_1.0.0.D
Ryzen 5700U/5500U/5300U (portátil)
Principios de 2021
diciembre 2023
CézannePI-FP6_1.0.1.0
Ryzen 7020 (portátil)
Finales de 2022
diciembre 2023
MendocinoPI-FT6_1.0.0.6
Ryzen Threadripper 3000
Finales de 2019
octubre 2023
CastlePeakPI-SP3r3 1.0.0.A
Ryzen Threadripper Pro 3000WX
Mediados de 2020
noviembre/diciembre 2023
CastlePeakWSPI-sWRX8 1.0.0.C / ChagallWSPI-sWRX8 1.0.0.7
EPYC7002
Mediados de 2019
...