Un equipo de investigadores descubre 13 vulnerabilidades críticas en cuatro procesadores AMD que podrían ponen en riesgo a millones de dispositivos. ¿Vuelve el fantasma de Spectre y Meltdown?
Cuando aún no nos hemos recuperado de la amenaza de Spectre y Meltdown descubiertas en los procesadores de Intel a principios de este año, expertos en seguridad de CTS Labs han hallado fallos de seguridad críticos que afectan a las líneas de procesadores AMD Ryzen, AMD Epyc, AMD Ryzen Pro y AMD Ryzen Mobile.
Se trata de procesadores para servidores, estaciones de trabajo y portátiles que dejan las puertas abiertas a posibles ciberataques, lo que puede poner en jaque la seguridad de cientos de organizaciones a nivel mundial.
Ante la alerta desatada, un portavoz de la compañía, en declaraciones que publica CNET, ha querido tranquilizar a los usuarios apuntando los esfuerzos que están haciendo para investigar los hechos.
En AMD la seguridad es una prioridad y estamos trabajando continuamente para garantizar la seguridad de nuestros usuarios a medida que surgen nuevos riesgos. Estamos investigando este informa para comprender la metodología y la relevancia de estos hallazgos.
Las vulnerabilidades Ryzenfall, Masterkey, Fallout y Chimera permiten a los ciberatacantes acceder al dispositivo sin ser detectado pudiendo acceder a datos confidenciales, o espionaje industrial en el caso de las organizaciones, e incluso robar todo tipo de datos el usuario.
Esto se debe a que los fallos de seguridad se encuentran en la plataforma de seguridad de los procesadores que almacena contraseñas y claves de cifrado, lo que se supone una de las partes más seguras de los procesadores.
¿Peor que Spectre?
Desde CTS Labs han compartido la información hallada con AMD, Dell, HP, Microsoft y proveedores de seguridad para que comiencen a trabajar en el desarrollo de parches y fórmulas para mitigar estas vulnerabilidades.
De hecho, CTS Labs comunicó a AMD el descubrimiento de estos fallos 24 horas de hacerlo públicamente para avanzar en las tareas para minimizar y solucionar las consecuencias que pueden derivarse. Un aspecto que ha llamado la atención ya que en los casos en los que se detectan vulnerabilidades se espera hasta 90 días antes de publicarlo.
De momento aún se desconocen las consecuencias que pueden acarrear estas vulnerabilidades, aunque algunos expertos apuntan que podrían ser peores que las de Spectre, ya que las soluciones y reparaciones pueden tardar meses.
