Es noticia
BitcoinSP500JP MorganXRPMario Kart 9AppleAMD

AMD y Google alertan sobre una vulnerabilidad crítica en las CPUs EPYC que afecta hasta Zen 4

TecnologíaNvidia

AMD y Google alertan sobre una vulnerabilidad crítica en las CPUs EPYC que afecta hasta Zen 4

AMD y Google han revelado una vulnerabilidad crítica en las CPUs EPYC que puede comprometer la seguridad de los datos virtualizados en diversas arquitecturas.

Redacción Kippel01
Publicado: 04-02-2025 20:16
Descripción

Ayer, AMD y Google divulgadon públicamente los hallazgos de septiembre sobre una importante vulnerabilidad de microcódigo en las CPUs EPYC de AMD, que abarcan desde las arquitecturas Zen 1 hasta Zen 4. Esta vulnerabilidad, identificada como CVE-2024-56161, se detalló en un comunicado del equipo de investigación de seguridad de Google y en el boletín de seguridad de AMD.

Según la documentación de Google, el problema original fue reportado el 25 de septiembre de 2024 y, posteriormente, AMD implementó una solución alrededor de dos meses y medio después, el 17 de diciembre de 2024. La divulgación pública de esta vulnerabilidad se retrasó hasta ayer, 3 de febrero, para dar tiempo a los clientes de AMD a aplicar la solución antes de que el problema se volviera más conocido.

De acuerdo con las declaraciones oficiales de AMD, "Investigadores de Google le han proporcionado a AMD información sobre una posible vulnerabilidad que, de ser explotada con éxito, podría llevar a la pérdida de la protección basada en SEV (Secure Encrypted Virtualization) de un invitado confidencial". SEV es una característica utilizada por las CPUs AMD de servidor para permitir la virtualización, lo que generalmente implica el uso de "clientes ligeros" cuyas datos se almacenan y gestionan en un servidor central.

La pérdida de la protección SEV a través de una explotación de microcódigo significa que los datos confidenciales de los usuarios virtualizados, que normalmente estarían protegidos, podrían ser robados. Sin embargo, la carga maliciosa de microcódigo también podría permitir otros tipos de explotación más allá del robo de datos.

Las series específicas de CPUs EPYC de AMD que se ven afectadas incluyen las AMD EPYC 7001 (Naples), AMD EPYC 7002 (Rome), AMD EPYC 7003 (Milan y Milan-X) y AMD EPYC 9004 (Genoa, Genoa-X y Bergamo/Siena). Afortunadamente, ya se han lanzado actualizaciones de microcódigo para las CPUs afectadas, por lo que, utilizando las utilidades de actualización apropiadas (como actualizaciones de BIOS), debería ser posible aplicar las soluciones. No obstante, como señala AMD, puede ser necesaria una actualización del firmware de SEV en algunas plataformas para que la solución funcione correctamente mediante la atestación SEV-SNP.