AMD ha revelado nuevas vulnerabilidades del lado del BIOS en todas sus generaciones de CPU Zen, lo que ha afectado particularmente a la conexi\u00f3n SPI, comprometiendo la seguridad.<\/p>\n
Las vulnerabilidades recientemente descubiertas de AMD podr\u00edan conducir potencialmente a compromisos de seguridad de alto nivel y afectan a todas las generaciones de CPU Zen, pero se publicaron correcciones de BIOS<\/h2>\n
La aparici\u00f3n de vulnerabilidades en las arquitecturas de CPU no es sorprendente, pero esta vez, AMD aparentemente ha descubierto algo mucho m\u00e1s grande, que afecta a una base de consumidores m\u00e1s extensa, y su gravedad tambi\u00e9n figura como \u00abalta\u00bb esta vez. Adem\u00e1s, las vulnerabilidades descubiertas tambi\u00e9n ingresan desde el BIOS de su placa base; por lo tanto, el asunto es realmente delicado y, seg\u00fan AMD, las consecuencias de lo mencionado incluyen el \u00abdesencadenamiento\u00bb de c\u00f3digos arbitrarios y mucho m\u00e1s.<\/p>\n
Pasando a los detalles, AMD menciona que la vulnerabilidad se divide en cuatro compromisos diferentes y se basa en \u00abestropear\u00bb su interfaz SPI, lo que puede conducir a actividades maliciosas como denegaci\u00f3n de servicio, ejecuci\u00f3n de c\u00f3digos arbitrarios y la eludir la integridad de su sistema. Team Red ha descrito las vulnerabilidades en m\u00faltiples CVE y puedes ver sus hallazgos a continuaci\u00f3n para tener una idea de lo costoso que puede ser:<\/p>\n
CVE<\/strong><\/b><\/td>\n| Gravedad<\/strong><\/b><\/td>\n | Descripci\u00f3n CVE<\/strong><\/b><\/td>\n<\/tr>\n | CVE-2023-20576<\/td>\n | Alto<\/td>\n | Una verificaci\u00f3n insuficiente de la autenticidad de los datos en AGESA puede permitir que un atacante actualice los datos de la ROM SPI, lo que podr\u00eda provocar una denegaci\u00f3n de servicio o una escalada de privilegios.<\/td>\n<\/tr>\n | CVE-2023-20577<\/td>\n | Alto<\/td>\n | Un desbordamiento de mont\u00f3n en el m\u00f3dulo SMM puede permitir que un atacante tenga acceso a una segunda vulnerabilidad que permite escribir en SPI flash, lo que podr\u00eda resultar en la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/td>\n<\/tr>\n | CVE-2023-20579<\/td>\n | Alto<\/td>\n | Un control de acceso inadecuado en la funci\u00f3n de protecci\u00f3n AMD SPI puede permitir que un usuario con acceso privilegiado Ring0 (modo kernel) evite las protecciones, lo que podr\u00eda provocar una p\u00e9rdida de integridad y disponibilidad.<\/td>\n<\/tr>\n | CVE-2023-20587<\/td>\n | Alto<\/td>\n | Un control de acceso inadecuado en el modo de administraci\u00f3n del sistema (SMM) puede permitir que los atacantes accedan a la memoria flash SPI, lo que podr\u00eda provocar la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n | Sin embargo, lo bueno es que para mantenerse a salvo de las vulnerabilidades mencionadas anteriormente, AMD ha aconsejado a sus consumidores que actualicen a las \u00faltimas versiones de AGESA, que la empresa ya ha eliminado.<\/p>\n Las nuevas versiones apuntan a mitigaciones para todas las l\u00edneas de CPU AMD Ryzen, junto con las series EPYC, Threadripper y Embedded de AMD, lo que demuestra que siempre que tenga la versi\u00f3n correcta de AGESA cargada en sus sistemas, no ser\u00e1 un gran problema. Gran oferta. Sin embargo, determinados SKU, como las APU Ryzen 4000G y 5000G, no han recibido parches de mitigaci\u00f3n en sus respectivas placas base, lo que podr\u00eda generar preocupaciones. Esto depende principalmente de los fabricantes de placas base. Aun as\u00ed, creemos que las nuevas versiones de AGESA se adoptar\u00e1n pronto.<\/p>\n \n <\/div>\n ![](\"https:\/\/cdn.wccftech.com\/wp-content\/uploads\/2024\/01\/PLAY-SSD_728x90.jpg\") <\/div>\n<\/div>\n
|