Vulnerabilidades de ejecución arbitraria de código y denegación de servicios (DoS) en AMD

16/01/2023 Noticias 0

Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a los procesadores AMD EPYC y Ryzen, que permitirían a un atacante realizar ejecución arbitraria de código, denegación de servicios (DoS), entre otros.  

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”, 16 (dieciséis) de severidad “Media” y 10 (diez) de severidad “Baja”. Las principales se detallan a continuación: 

  • CVE-2021-26316, de severidad “alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la validación del búfer de comunicación en el BIOS. Esto permitiría a un atacante realizar ejecución de código arbitrario con privilegios de administración. 
  • CVE-2021-26398, de severidad “alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la validación de datos de entrada en la función SYS_KEY_DERIVE. Esto permitiría a un atacante realizar ejecución de código arbitrario. 
  • CVE-2021-26346, de severidad “media” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada del gestor de arranque de AMD Secure Processor (ASP). Esto permitiría a un atacante provocar denegación de servicios (DoS) en el sistema afectado. 

Para acceder al listado completo de las vulnerabilidades ingrese al siguiente enlace

Los principales productos afectados son: 

  • AMD Ryzen™ 2000 series Desktop Processors “Raven Ridge” AM4, Raven-FP5-AM4 1.1.0.D. 
  • AMD Ryzen™ 2000 Series Desktop Processors “Pinnacle Ridge”, PinnaclePI-AM4 1.0.0.C. 
  • 1st Gen AMD EPYC™ Processors, NaplesPI 1.0.0.H. 

Puede acceder a la lista completa de los productos afectados en los siguientes enlaces: 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

Referencias:  

Compartir: