AMD EPYC: fuga de seguridad crítica en el servidor de CPU 11 comentarios
Imagen: AMD
Los investigadores de seguridad de Google han informado a AMD de una brecha de seguridad en los procesadores de sus servidores. Un atacante local podría cargar un código de firmware dañado mediante una verificación de firma inapropiada. Sin embargo, esto requiere derechos de administrador. Sin embargo, el riesgo se clasifica como “alto”.
Según AMD, la fuga de seguridad, que ahora está cerrada mediante una actualización de firmware, con la identificación CVE-2024-56161, afecta a las series EPYC 7001 (Nápoles), EPYC 7002 (Roma), EPYC 7003 (Milán, Milán -X) y EPYC 9004 (Milán, Milán, Milán, Milán, Milán, Génova, Génoa-X, Bérgamo, Siena). Por tanto, los procesadores de las arquitecturas Zen 1 a Zen 4 se ven afectados. Los núcleos EPYC 7005 y 9005 actuales con núcleos Zen-5 no están por debajo.
Una verificación de firma incorrecta en el cargador de parches de microcódigo ROM de la CPU AMD puede permitir que un atacante con privilegios de administrador local cargue un microcódigo de CPU malicioso, lo que resulta en la pérdida de confidencialidad e integridad de un invitado confidencial que ejecuta AMD SEV -SNP.
AMD
Google Security ya informó de la filtración en septiembre
Los investigadores del equipo de seguridad de Google ya habían detectado el punto débil en septiembre de 2024 en AMD. Como es habitual, se mantuvo el silencio para que los posibles atacantes no se enteraran.
Una solución siguió en diciembre
El 17 de diciembre, AMD finalmente proporcionó a sus clientes comerciales una actualización de firmware con la que se solucionó el punto débil. Para que esta vez hubiera tenido que jugarse la actualización, la brecha de seguridad no se hizo pública hasta el 3 de febrero de 2025.
Sin embargo, los investigadores de Google aún no han revelado todos los detalles y solo quieren hacerlo el 5 de marzo para tener más tiempo para consolidar los sistemas.
Debido a la extensa cadena de suministro, la secuencia y la coordinación necesarias para solucionar este problema, no anunciaremos todos los detalles para dar tiempo a los usuarios a restaurar la compensación confidencial. Anunciaremos más detalles y herramientas el 5 de marzo de 2025.
Equipo de seguridad de Google
Temas: Fuente del servidor del procesador AMD EPYC Fuente: GitHub, AMD
Marc analiza procesadores probando su rendimiento para gaming, creación de contenido e inteligencia artificial.
