Technologia

Todas las CPU de AMD Zen 1 a 4 están afectadas por una vulnerabilidad de verificación de firma de microcódigo

Google ha dado a conocer una vulnerabilidad de seguridad en casi todas las CPU basadas en arquitectura AMD Zen. Hablamos de cualquier procesador basado en las arquitecturas Zen 1, Zen 2, Zen 3 y Zen 4. Para ordenadores de consumo, no es un gran problema. Pero claro, cuando AMD ahora domina el mercado de servidores y La entrada Todas las CPU de AMD Zen 1 a 4 están afectadas por una vulnerabilidad de verificación de firma de microcódigo aparece primero en El Chapuzas Informático.

Feb 4, 2025 - 15:26
 0
Todas las CPU de AMD Zen 1 a 4 están afectadas por una vulnerabilidad de verificación de firma de microcódigo

Google ha dado a conocer una vulnerabilidad de seguridad en casi todas las CPU basadas en arquitectura AMD Zen. Hablamos de cualquier procesador basado en las arquitecturas Zen 1, Zen 2, Zen 3 y Zen 4. Para ordenadores de consumo, no es un gran problema. Pero claro, cuando AMD ahora domina el mercado de servidores y centros de datos, esto es un serio problema.

Es por ello que afecta a todos los sistemas que hagan uso de los procesadores AMD EPYC Napoles, Rome, Milan, Milan-X, Genoa, Genoa-X y Bergamo/Siena. Cuatro generaciones de procesadores altamente utilizados en la industria que están afectados de una vulnerabilidad que permite que un actor malicioso con privilegios de administrador local (ring 0 desde fuera de una máquina virtual) cargue parches de microcódigo maliciosos.

Google avisó a AMD de esta vulnerabilidad el 25 de septiembre: fue muy lenta en aportar una solución

Vulnerabilidad CPU AMD EPYC Zen1, 2, 3 y 4 por Google

En base a la política estándar de divulgación de vulnerabilidades, Google avisó a AMD de la vulnerabilidad existente en los procesadores Zen 1, 2, 3 y 4 el 25 de septiembre de 2024. Una vez se le avisa a una compañía, esta tiene un plazo máximo de 90 días para aportar una solución. Ahora bien, cuando se indica que es una vulnerabilidad crítica, Google espera que se tomen medidas en un plazo de 7 días. Pues en este caso concreto, una vez acabaron los 90 días,

Google hizo una excepción, que es ampliar el plazo que dan a las compañías antes de que compartan todos los detalles públicamente. Y es que airear los problemas de forma pública es la solución perfecta para forzar a una compañía a ponerse las pilas y arreglar el problema lo antes posible. Pese a ello, y a que se ha aportado una solución 131 días después, aún no se ha completado el trabajo. Es por ello que Google no compartirá más detalles hasta el 5 de marzo.

"Google notificó a AMD sobre esta vulnerabilidad el 25 de septiembre de 2024. Posteriormente, AMD proporcionó una solución embargada a sus clientes el 17 de diciembre de 2024. Para coordinarnos con AMD, hicimos una excepción única a nuestra política estándar de divulgación de vulnerabilidades y retrasamos la divulgación pública hasta hoy, 3 de febrero de 2025".

"Esta divulgación conjunta se produce 46 días después de que AMD compartiera la solución con sus clientes y 131 días después del informe inicial de Google. Debido a la profunda cadena de suministro, la secuencia y la coordinación necesarias para solucionar este problema, no compartiremos todos los detalles en este momento para darles tiempo a los usuarios para restablecer la confianza en sus cargas de trabajo de cómputo confidencial. Compartiremos detalles y herramientas adicionales el 5 de marzo de 2025"

¿Cuál es la vulnerabilidad?

AMD ZenHammer vulnerabilidad

Google descubrió que todas estas CPU AMD Zen 1 a Zen 4 son propensas a verse afectadas ante la creación de parches de microcódigo maliciosos arbitrarios. La vulnerabilidad está en que estas CPU utilizan una función hash insegura en la validación de firmas para las actualizaciones de microcódigo. Por lo que un actor indeseado podría utilizar esta vulnerabilidad para comprometer cargas de trabajo informáticas confidenciales protegidas por la versión más reciente de AMD Secure Encrypted Virtualization, SEV-SNP o para comprometer Dynamic Root of Trust Measurement.

Esta vulnerabilidad ha sido catalogada como Grave. Quizás resulta más llamativo, que tras instalar el microcódigo que parchea el problema, las CPU AMD EPYC Rome y Napoles pierden una función. La capacidad de actualizar el microcódigo en caliente. Lo que implica que solo se podrán realizar actualizaciones de microcódigo mediante la BIOS.

"RIESGO ALTO: La verificación de firmas inadecuada en el cargador de parches de microcódigo de la ROM de la CPU de AMD puede permitir que un atacante con privilegios de administrador local cargue microcódigo de CPU malicioso, lo que resulta en la pérdida de confidencialidad e integridad de un invitado confidencial que se ejecuta bajo SEV-SNP de AMD.

La entrada Todas las CPU de AMD Zen 1 a 4 están afectadas por una vulnerabilidad de verificación de firma de microcódigo aparece primero en El Chapuzas Informático.

Leer Más

Etiquetas:

Artículo Anterior

Instala ya la última actualización de iPhone: iOS 18.3 soluciona más de 20 fallo...

Artículo Siguiente

Así es OpenAI Deep Research, el agente con IA capaz de gestionar tareas más comp...

Publicaciones Relacionadas

Así es el Puttering, el hábito de Steve Wozniak que destaca a las personas con mayor inteligencia emocional

Así es el Puttering, el hábito de Steve Wozniak que des...

Ene 26, 2025  0

Microsoft mantendrá tu sesión iniciada para siempre de forma automática

Microsoft mantendrá tu sesión iniciada para siempre de ...

Ene 26, 2025  0

Breve: El RPG de acción Legacy: Steel & Sorcery llegará el 12 de febrero al acceso anticipado

Breve: El RPG de acción Legacy: Steel & Sorcery llegará...

Ene 29, 2025  0