Los propietarios de un procesador AMD basado en la arquitectura Zen 2, tales son los Ryzen 3000, algunos 4000 y las versiones portátiles de las familias 4000, 5000 y 7000 (Mendocino), deben estar alerta ante el descubrimiento de una importante vulnerabilidad que permite el robo de información protegida de la CPU. Esto incluye claves de cifrado y datos de acceso como nombres de usuario y contraseñas. Bautizado como Zenbleed, este grave fallo ha sido
descubierto por Tavis Ormandi, un experto del departamento de ciberseguridad de Google, y puede ser explotado de forma remota a través de sitios web y/o javascript, sin necesidad de tener acceso físico al sistema.
Según señala Google, Zenbleed permite extraer información a una velocidad de 30 kb/segundo por núcleo y funciona sobre cualquier tipo de software que se ejecute en el procesador, pudiendo esquivar medidas de seguridad o contención como máquinas virtuales y cajones de arena aprovechando un fallo que "bajo circunstancias microarquitectónicas específicas" hacen posible que un registro no se escriba como 0 correctamente.
El fallo, afecta también a la gama de procesadores Epyc (detalle potencialmente importante, considerando su uso en servidores) y habría sido comunicado a AMD antes de su publicación, puesto que poco después de hacerse público ha aparecido un boletín informativo y el primer parche para la familia Epyc 7002 "Rome". Los procesadores de consumo no recibirán una actualización hasta noviembre y diciembre.
Al igual que sucedió en su momento con
Meltdown y Spectre, se espera que los parches impacten en el rendimiento de los procesadores, aunque por ahora se desconoce en qué medida.
Como recuerda astutamente
Tom's Hardware, las consolas PlayStation 5, Xbox Series y Steam Deck utilizan procesadores basados en la arquitectura Zen 2, pero por el momento se desconoce si están afectados por Zenbleed de alguna forma.
Los propietarios de un sistema con un procesador Zen 2 interesados en conocer la disponibilidad del firmware AGESA correspondiente pueden consultar
el sitio que ha habilitado AMD.
Fuente: Tom's Hardware