Hace unos días se dieron a conocer dos nuevas vulnerabilidades que afectan a los procesadores AMD desde la serie FX en adelante (Incluyendo los recientes Ryzen 3000), y lejos de aceptar estas vulnerabilidades, AMD indicó que no son vulnerabilidades nuevas y por lo tanto no mencionó nada sobre un parche. Este fue su comunicado:
«Somos conscientes de un nuevo informe que afirma potenciales ataques de seguridad en los CPUs AMD, donde un actor malicioso puede manipular una función relacionada a la caché para transmitir información del usuario en una manera no intencionada. Los investigadores luego emparejan esta línea de datos con vulnerabilidades ya conocidas y mitigadas de software o de ejecución especulativa. AMD cree que no son nuevos ataques basados en la especulación».
Debajo AMD comenta algunas prácticas para evitar vulnerabilidades, más que nada orientadas a desarrolladores de software, como mantener las librerías actualizadas y usar prácticas de codificación segura, aunque nunca menciona un parche, seguramente por ya considerarlo parchado. Lamentablemente no se dieron explicaciones de porque creen que no es un ataque nuevo, por lo que deja abierta la duda.
Que dicen los investigadores:
Well, no. The way predictor still behaves like described in the paper. It leaks info on addresses and is not as severe as #meltdown. Aside from the ASLR breaks, the two attacks are just building blocks similar to Prime+Probe and Flush+Reload.
— Vedad Hadžić (@duxcode) March 8, 2020
Según los investigadores, las mitigaciones existentes no solucionan el problema y aún se puede explotar la vulnerabilidad. De ser cierto, AMD debería lanzar un parche pronto para solucionarla.