Hace unos días la empresa israelí CTS Labs publicó un controvertido informe en el que incluía 13 vulnerabilidades que supuestamente afectaban a los procesadores Ryzen y Epyc de AMD.
La mala praxis de CTS Labs, impropia de una empresa dedicada a la seguridad que tenga un mínimo de seriedad y de profesionalidad, unida a toda la escenografía que acompañó al anuncio de las vulnerabilidades hizo pensar que podría ser un bulo, teoría que luego se vio reforzada por la falta de demostraciones tipo de explotación de dichas vulnerabilidades.
AMD dijo desde el primer momento que investigaría este tema y ya tenemos una respuesta oficial, las vulnerabilidades existen pero con importantes matices:
- Aunque los fallos existen requieren permisos de administrador. Esto equivale a decir que para que puedan robar en tu oficina primero necesitan hacerse con las llaves.
- No revisten ni de lejos la misma gravedad que tienen las vulnerabilidades Spectre y Meltdown, ambas presentes en CPUs Intel.
- Ninguno de esos trece fallos son específicos de la arquitectura Zen utilizada en Ryzen y Epyc, sino que se relacionan con los conjuntos de chips de PSP y ASMedia que utilizan como controladores.
En resumen, que las vulnerabilidades existen pero no son ni de lejos tan graves como CTS Labs quiso hacernos creer, y que además no están presentes a nivel de CPU sino en los chips de apoyo de que utiliza Ryzen y Epyc.
AMD ha confirmado que resolverá esos trece fallos de seguridad en las próximas semanas con parches y actualizaciones de BIOS y que no habrá pérdida de rendimiento. Esto último es normal, ya que como hemos dicho los fallos no se encuentran en el procesador, cosa que sí ocurre con Spectre y Meltdown.
Si utilizáis procesadores Ryzen o Epyc en vuestra pyme podéis estar tranquilos, ya que no tenéis prácticamente nada que temer.
