{"id":404846,"date":"2023-01-15T04:47:51","date_gmt":"2023-01-15T04:47:51","guid":{"rendered":"https:\/\/magazineoffice.com\/amd-revelo-31-vulnerabilidades-dentro-de-sus-lineas-de-procesadores-cpu-ryzen-y-epyc-incluidas\/"},"modified":"2023-01-15T04:47:53","modified_gmt":"2023-01-15T04:47:53","slug":"amd-revelo-31-vulnerabilidades-dentro-de-sus-lineas-de-procesadores-cpu-ryzen-y-epyc-incluidas","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/amd-revelo-31-vulnerabilidades-dentro-de-sus-lineas-de-procesadores-cpu-ryzen-y-epyc-incluidas\/","title":{"rendered":"AMD revel\u00f3 31 vulnerabilidades dentro de sus l\u00edneas de procesadores, CPU Ryzen y EPYC incluidas"},"content":{"rendered":"
\n<\/p>\n
\n
AMD revel\u00f3 en la actualizaci\u00f3n m\u00e1s reciente de enero que se encontraron treinta y una nuevas vulnerabilidades en sus procesadores, que cubren las CPU Ryzen y EPYC.<\/p>\n
AMD golpe\u00f3 con 31 nuevas vulnerabilidades para comenzar 2023, afectando las l\u00edneas de CPU Ryzen y EPYC<\/h2>\n
La empresa ha creado numerosas mitigaciones para aliviar los procesadores expuestos y tambi\u00e9n ha divulgado un informe de la empresa en cooperaci\u00f3n con equipos de tres empresas principales: Apple, Google y Oracle. La compa\u00f1\u00eda tambi\u00e9n anunci\u00f3 varias variantes de AGESA enumeradas en la actualizaci\u00f3n (el c\u00f3digo de AGESA se encuentra al construir el BIOS del sistema y el c\u00f3digo UEFI).<\/p>\n
Debido a la naturaleza de la vulnerabilidad, los cambios de AGESA se han entregado a los OEM, y cualquier parche depender\u00e1 de que cada proveedor lo publique lo antes posible. Ser\u00eda prudente que los consumidores visitaran el sitio web oficial del proveedor para averiguar si hay una nueva actualizaci\u00f3n en espera de descarga en lugar de esperar a que la empresa la implemente m\u00e1s tarde.<\/p>\n
<\/figure>\n
Los procesadores AMD vulnerables a este nuevo ataque incluyen los modelos Ryzen para computadoras de escritorio, HEDT, Pro y las series de CPU m\u00f3viles. Hay una sola vulnerabilidad etiquetada como de \u00abgravedad alta\u00bb, mientras que otras dos son menos extremas pero a\u00fan as\u00ed es importante parchearlas. Todas las exposiciones son atacadas a trav\u00e9s del cargador de arranque BIOS y ASP (tambi\u00e9n conocido como el cargador de arranque AMD Secure Processor).<\/p>\n
Las series de CPU de AMD que son vulnerables son:<\/p>\n
\n
Procesadores de la serie Ryzen 2000 (Pinnacle Ridge)<\/strong><\/li>\n
APU Ryzen 2000<\/strong><\/li>\n
APU Ryzen 5000<\/strong><\/li>\n
Serie de procesadores de servidor AMD Threadripper 2000 HEDT y Pro<\/strong><\/li>\n
Serie de procesadores de servidor AMD Threadripper 3000 HEDT y Pro<\/strong><\/li>\n
Procesadores m\u00f3viles de la serie Ryzen 2000<\/strong><\/li>\n
Procesadores m\u00f3viles de la serie Ryzen 3000<\/strong><\/li>\n
Procesadores m\u00f3viles de la serie Ryzen 5000<\/strong><\/li>\n
Procesadores m\u00f3viles de la serie Ryzen 6000<\/strong><\/li>\n
Procesadores m\u00f3viles de la serie Athlon 3000<\/strong><\/li>\n<\/ul>\n
Se han descubierto veintiocho vulnerabilidades de AMD que afectan a los procesadores EPYC, con cuatro modelos etiquetados con \u00abgravedad alta\u00bb por la empresa. Los tres de alta gravedad pueden tener c\u00f3digo arbitrario que puede ejecutarse a trav\u00e9s de vectores de ataque en numerosas \u00e1reas. Adem\u00e1s, uno de los tres enumerados tiene un exploit adicional que permite escribir datos en secciones espec\u00edficas que conducen a la p\u00e9rdida de datos. Otros equipos de investigaci\u00f3n encontraron otras quince vulnerabilidades de menor gravedad y nueve de menor gravedad.<\/p>\n
Debido a la gran cantidad de procesadores afectados explotados, la compa\u00f1\u00eda decidi\u00f3 divulgar esta lista de vulnerabilidades reciente que normalmente se publicar\u00eda en mayo y noviembre de cada a\u00f1o y asegurarse de que las mitigaciones estuvieran preparadas para su lanzamiento. Otras vulnerabilidades dentro de los productos de AMD incluyen una variante de Hertzbleed, otra que act\u00faa de manera similar al exploit Meltdown y una llamada \u00abTake A Way\u00bb.<\/p>\n
\n\n
\n
CVE<\/strong><\/td>\n
Gravedad<\/strong><\/td>\n
Descripci\u00f3n CVE<\/strong><\/td>\n<\/tr>\n
\n
CVE\u20112021\u201126316<\/td>\n
Alto<\/td>\n
Si no se valida el b\u00fafer de comunicaci\u00f3n y el servicio de comunicaci\u00f3n en el BIOS, un atacante puede manipular el b\u00fafer, lo que puede generar la ejecuci\u00f3n de c\u00f3digo arbitrario SMM (modo de administraci\u00f3n del sistema).<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201126346<\/td>\n
Medio<\/td>\n
Si no se valida el operando entero en el cargador de arranque ASP (procesador seguro de AMD), un atacante puede introducir un desbordamiento de enteros en la tabla de directorio L2 en la memoria flash SPI, lo que puede provocar una denegaci\u00f3n de servicio.<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201146795<\/td>\n
Bajo<\/td>\n
Existe una vulnerabilidad TOCTOU (tiempo de verificaci\u00f3n a tiempo de uso) en la que un atacante puede usar un BIOS comprometido para hacer que el sistema operativo TEE lea la memoria fuera de los l\u00edmites, lo que podr\u00eda resultar en una denegaci\u00f3n de servicio.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
ESCRITORIO<\/strong><\/p>\n
\n\n
\n
CVE<\/strong><\/td>\n
Procesadores de escritorio AMD Ryzen\u2122 serie 2000 \u00abCresta del Cuervo\u00bb AM4<\/strong><\/td>\n
Procesadores de escritorio AMD Ryzen\u2122 serie 2000 \u201cCima del pin\u00e1culo\u201d<\/strong><\/td>\n
Procesadores de escritorio AMD Ryzen\u2122 serie 3000 Matisse AM4<\/strong><\/td>\n
Procesadores de escritorio AMD Ryzen\u2122 serie 5000 \u201cVermeer\u201dAM4<\/strong><\/td>\n
Procesador de escritorio AMD Ryzen\u2122 serie 5000 con gr\u00e1ficos Radeon\u2122 \u201cC\u00e9zanne\u201d AM4<\/strong><\/td>\n<\/tr>\n
\n
Versi\u00f3n m\u00ednima para mitigar todos los CVE enumerados<\/strong><\/td>\n
Cuervo-FP5-AM4 1.1.0.D ComboAM4PI 1.0.0.8 ComboAM4v2 PI 1.2.0.4 PinnaclePI-AM4 1.0.0.C<\/strong><\/td>\n
PinnaclePI-AM4 1.0.0.C ComboAM4PI 1.0.0.8 ComboAM4v2 PI 1.2.0.4<\/strong><\/td>\n
N \/ A<\/strong><\/td>\n
N \/ A<\/strong><\/td>\n
ComboAM4v2 PI 1.2.0.8<\/strong><\/td>\n<\/tr>\n
\n
CVE\u20112021\u201126316<\/td>\n
Cuervo-FP5-AM4 1.1.0.D ComboAM4PI 1.0.0.8 ComboAM4v2 PI 1.2.0.4 PinnaclePI-AM4 1.0.0.C<\/td>\n
PinnaclePI-AM4 1.0.0.C ComboAM4PI 1.0.0.8 ComboAM4v2 PI 1.2.0.4<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
ComboAM4v2 PI 1.2.0.4<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201126346<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
ComboAM4v2 PI 1.2.0.8<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201146795<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
ComboAM4v2 PI 1.2.0.5<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
ESCRITORIO DE ALTA GAMA<\/strong><\/p>\n
\n\n
\n
CVE<\/strong><\/td>\n
Procesadores AMD Ryzen\u2122 Threadripper\u2122 de segunda generaci\u00f3n \u201cColfax\u201d<\/strong><\/td>\n
Procesadores AMD Ryzen\u2122 Threadripper\u2122 de tercera generaci\u00f3n HEDT \u201cPico del Castillo\u201d<\/strong><\/td>\n<\/tr>\n
\n
Versi\u00f3n m\u00ednima para mitigar todos los CVE enumerados<\/strong><\/td>\n
Procesadores m\u00f3viles AMD Athlon\u2122 serie 3000 con gr\u00e1ficos Radeon\u2122 \u201cDal\u00ed\u201d\/\u201dDal\u00ed\u201d ULP<\/strong><\/td>\n
Procesadores m\u00f3viles AMD Athlon\u2122 serie 3000 con gr\u00e1ficos Radeon\u2122 \u00abApollo\u00bb<\/strong><\/td>\n<\/tr>\n
\n
Versi\u00f3n m\u00ednima para mitigar todos los CVE enumerados<\/strong><\/td>\n
PicassoPI-FP5 1.0.0.D<\/td>\n
PollockPI-FT5 1.0.0.3<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201126316<\/td>\n
PicassoPI-FP5 1.0.0.D<\/td>\n
PollockPI-FT5 1.0.0.3<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201126346<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201146795<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
M\u00d3VIL – Serie AMD Ryzen<\/strong><\/p>\n
\n\n
\n
CVE<\/strong><\/td>\n
Procesadores m\u00f3viles AMD Ryzen\u2122 serie 2000 \u201cCresta del Cuervo\u201d FP5<\/strong><\/td>\n
Procesador m\u00f3vil AMD Ryzen\u2122 serie 3000, procesadores m\u00f3viles AMD Ryzen\u2122 de segunda generaci\u00f3n con gr\u00e1ficos Radeon\u2122 \u00abPicasso\u00bb<\/strong><\/td>\n
Procesadores m\u00f3viles AMD Ryzen\u2122 serie 3000 con gr\u00e1ficos Radeon\u2122 \u201cRenoir\u201d FP6<\/strong><\/td>\n
Procesadores m\u00f3viles AMD Ryzen\u2122 serie 5000 con gr\u00e1ficos Radeon\u2122 \u00abLuciana\u00bb<\/strong><\/td>\n
Procesadores m\u00f3viles AMD Ryzen\u2122 serie 5000 con gr\u00e1ficos Radeon\u2122 \u201cC\u00e9zanne\u201d<\/strong><\/td>\n
Procesadores m\u00f3viles AMD Ryzen\u2122 serie 6000 \u00abRembrandt\u00bb<\/strong><\/td>\n<\/tr>\n
\n
Versi\u00f3n m\u00ednima para mitigar todos los CVE enumerados<\/strong><\/td>\n
N \/ A<\/strong><\/td>\n
PicassoPI-FP5 1.0.0.D ComboAM4PI 1.0.0.8 ComboAM4v2 PI 1.2.0.4<\/strong><\/td>\n
RenoirPI-FP6 1.0.0.9 ComboAM4v2 PI 1.2.0.8<\/strong><\/td>\n
CezannePI-FP6 1.0.0.B<\/strong><\/td>\n
CezannePI-FP6 1.0.0.B<\/strong><\/td>\n
N \/ A<\/strong><\/td>\n<\/tr>\n
\n
CVE\u20112021\u201126316<\/td>\n
N \/ A<\/td>\n
PicassoPI-FP5 1.0.0.D ComboAM4PI 1.0.0.8 ComboAM4v2 PI 1.2.0.4<\/td>\n
RenoirPI-FP6 1.0.0.7 ComboAM4v2 PI 1.2.0.4<\/td>\n
CezannePI-FP6 1.0.0.6<\/td>\n
CezannePI-FP6 1.0.0.6<\/td>\n
N \/ A<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201126346<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
RenoirPI-FP6 1.0.0.9 ComboAM4v2 PI 1.2.0.8<\/td>\n
CezannePI-FP6 1.0.0.B<\/td>\n
CezannePI-FP6 1.0.0.B<\/td>\n
N \/ A<\/td>\n<\/tr>\n
\n
CVE\u20112021\u201146795<\/td>\n
N \/ A<\/td>\n
N \/ A<\/td>\n
RenoirPI-FP6 1.0.0.7 ComboAM4v2 PI 1.2.0.5<\/td>\n
CezannePI-FP6 1.0.0.6<\/td>\n
CezannePI-FP6 1.0.0.6<\/td>\n
N \/ A<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
Fuentes de noticias: hardware de Tom, vulnerabilidades de los clientes de AMD: enero de 2023, vulnerabilidades de los servidores de AMD: enero de 2023<\/p>\n
![\"AMD](\"https:\/\/cdn.wccftech.com\/wp-content\/uploads\/2023\/01\/H33WaYXNMC3NJjLJRqbKXh.png.webp\")
<\/figure>\n