Esto fue rápidamente desmentido por el principal competidor de Intel, y este no es otro que AMD (que se pronunció ayer), al que hoy se le suma ARM, que también ha emitido su propio comunicado oficial junto a Google y Microsoft, las principales afectadas por ofrecer soluciones basadas en los procesadores de Intel.
Eso sí, no comentó nada acerca de que su CEO era consciente de este problema un mes antes y se aprovechó para vender cerca de un cuarto de millón de las acciones de Intel generándole más de 11 millones de dólares.
Lo más curioso de todo, es que AMD y ARM aseguran no estar afectadas, y no tendría sentido mentir por que esto se podría demostrar de forma sencilla, pero lo más curioso de todo es que Google y Microsoft meten en el cajón a todas las compañías cuando Intel es la única afectada.
Si bien hay que recalcar que no todos los procesadores AMD son inmunes, “sólo” lo son sus CPUs basadas en la arquitectura AMD Zen, es decir, los actuales Ryzen y EPYC, siendo los únicos afectados los AMD Bulldozer (AMD FX) y AMD Fusion (APUS A-Series) hacia atrás, procesadores que nunca han sido viables para dar vida a centros de datos o nubes, y como este problema no afecta al usuario común, es estúpido meter en el mismo cajón a una AMD que nunca ha ofrecido dichos procesadores y APUs en el segmento profesional.
Este problema solo afecta a programas relacionados con las bases de datos de servidores y SQL, donde se pierde hasta un 35% de rendimiento si se emplea una CPU Intel. En lo que respecta a gamers, no existen cambios, algo que solo debe preocupar a Intel, pues el problema de rendimiento le afecta en el mercado más rentable.
AMD
Recientemente ha habido una cobertura de prensa con respecto a un posible problema de seguridad relacionado con los microprocesadores modernos y la ejecución especulativa. La seguridad de la información es una prioridad en AMD, y nuestros arquitectos de seguridad siguen de cerca el ecosistema tecnológico en busca de nuevas amenazas.
Es importante entender cómo la vulnerabilidad de ejecución especulativa descrita en la investigación se relaciona con los productos de AMD, pero tenga en cuenta lo siguiente:
La investigación descrita se realizó en un entorno de laboratorio dedicado y controlado por un equipo altamente capacitado con información detallada y no pública sobre los procesadores a los que se dirigía. La amenaza descrita no se ha visto en el dominio público.
Cuando AMD se enteró de que los investigadores habían descubierto un nuevo ataque de la CPU que apuntaba a la funcionalidad de ejecución especulativa utilizada por los productos de múltiples empresas de chips, de inmediato nos comprometimos con el ecosistema para abordar los hallazgos de los equipos.
El equipo de investigación identificó tres variantes dentro de la investigación de ejecución especulativa. La siguiente cuadrícula detalla las variantes específicas detalladas en la investigación y los detalles de respuesta de AMD.
| Investigación Google Project Zero (GPZ) | Detalles | |
| Variante 1 | Bounds Check Bypass | Se resuelve mediante actualizaciones de software / SO que los proveedores y fabricantes de sistemas pondrán a su disposición. Impacto de rendimiento insignificante esperado. |
| Variante 2 | Branch Target Injection | Las diferencias en la arquitectura AMD significan que existe un riesgo casi cero de explotación de esta variante. La vulnerabilidad a la Variante 2 no se ha demostrado en los procesadores AMD hasta la fecha. |
| Variante 3 | Rogue Data Cache Load | Ninguna vulnerabilidad en AMD debido a las diferencias que ofrece la arquitectura AMD. |
ARM
Este método requiere un malware que se ejecute localmente y podría dar como resultado el acceso a datos desde la memoria con privilegios. Nuestros procesadores Cortex-M, que están presentes en dispositivos de IoT conectados de baja potencia, no se ven afectados.
El investigador del proyecto Project Zero, Jann Horn, demostró que actores malintencionados podían aprovechar la ejecución especulativa para leer una memoria del sistema que debería haber sido inaccesible. Por ejemplo, una parte no autorizada puede leer información sensible en la memoria del sistema, como contraseñas, claves de cifrado o información confidencial abierta en las aplicaciones.
Las pruebas también mostraron que un ataque que se ejecutaba en una máquina virtual podía acceder a la memoria física de la máquina host y, a través de eso, obtener acceso de lectura a la memoria de una máquina virtual diferente en el mismo host.
Estas vulnerabilidades afectan a muchas CPU, incluidas las de AMD, ARM e Intel, así como a los dispositivos y sistemas operativos que las ejecutan.
Tan pronto como nos enteramos de esta nueva clase de ataque, nuestros equipos de seguridad y desarrollo de productos se movilizaron para defender los sistemas de Google y los datos de nuestros usuarios. Hemos actualizado nuestros sistemas y productos afectados para protegernos contra este nuevo tipo de ataque. También colaboramos con fabricantes de hardware y software de la industria para ayudar a proteger a sus usuarios y a la web en general. Estos esfuerzos han incluido el análisis colaborativo y el desarrollo de nuevas mitigaciones.
Estamos realizando este anuncio de forma adelantada, ya que la fecha de divulgación estaba originalmente coordinada para el 9 de enero de 2018 debido a los informes públicos existentes y la creciente especulación en la prensa y la comunidad de investigación de seguridad sobre el tema, lo que aumenta el riesgo de explotación. El informe completo del Project Zero está disponible.
Microsoft
Somos conscientes de este problema en toda la industria y hemos estado trabajando estrechamente con los fabricantes de chips para desarrollar y probar mitigaciones para proteger a nuestros clientes. Estamos en el proceso de implementar mitigaciones para nuestros servicios en la nube y también hemos lanzado actualizaciones de seguridad para proteger a los clientes de Windows contra las vulnerabilidades que afectan a los chips de hardware compatibles de Intel, ARM y AMD.
No hemos recibido ninguna información que indique que estas vulnerabilidades se hayan utilizado para atacar a nuestros clientes.
Saludos.
No hay comentarios :
Publicar un comentario
Por favor, escribe adecuadamente y se respetuoso. Gracias.