- Se incorporó
- 4 Marzo 2005
- Mensajes
- 7.831
Esto da para una nota larga, pero lamentablemente ando muy corto de tiempo, así que daré un resumen de lo que he podido leer y unos links al tema.
El asunto salió a flote esta cerca del mediodía local, con publicaciones en varios sitios tech hablando sobre el anuncio de una compañía de seguridad respecto a 13 vulnerabilidades que habría en varios CPUs de AMD basados en Zen. Parece muy grave (y en realidad tal vez lo sea), pero hay varias cosas raras que llaman la atención:
- La empresa de seguridad que hizo el descubrimiento y el anuncio es prácticamente desconocida, basada en Israel y cuyo sitio web data recién el año pasado.
-Le dieron 24 horas de aviso a AMD de las vulnerabilidades antes de hacer el anuncio público /en vez de los meses que hubo con Meltdown y Spectre).
-Al momento de hacer el anuncio ya tenían completamente diseñado un sitio web del tema, llamado "AMDflaws", con nombres llamtivos para estas vulnerabilidades e íconos o un diseño para cada una. También subieron videos a youtube como dirigidos a público en general (lenguaje más bien básico y general).
-Otros detalles que se pueden ver en los links y comentarios de foros.
-Dan a entender que las vulnerabilidades son "muy malas", pero lo que se desprende del mismo documento publicado por ellos al respecto (que curiosamente está alojado en otro sitio y no en el de ellos), las vulnerabilidades requieren que el atacante ya tenga privilegios administrativos e incluso una vulnerabilidad requiere flasheo de BIOS (o sea, te lo tienen que tener bien adentro antes de poder hacer algo, o dicho de otra forma, aunque no existieran estas vulnerabilidades en esa situación estás cagado igual).
Las opiniones generales de editores y usuarios de foros que saben más que yo del tema, es que es absolutamente irregular dar tan poco tiempo de aviso a AMD, y que pareciera que más que primar el interés general de seguridad, todo está diseñado para causar impacto y darse a conocer. Algunos piensan que todo es falso, y especulan que todo puede estar destinado a guiar una modificación de las acciones de AMD para hacer una ganancia rápida. Yo creo que sí existen pero que no es para tanto y además la compañía me parece muy poco responsable.
links:
https://www.techpowerup.com/242328/...d-in-amd-zen-architecture-including-backdoors
https://www.anandtech.com/show/1252...lish-ryzen-flaws-gave-amd-24-hours-to-respond
https://www.hardocp.com/news/2018/03/13/amd_cpu_attack_vectors_vulnerabilities
http://www.guru3d.com/news-story/13...doors-discovered-in-amd-ryzen-processors.html
El asunto salió a flote esta cerca del mediodía local, con publicaciones en varios sitios tech hablando sobre el anuncio de una compañía de seguridad respecto a 13 vulnerabilidades que habría en varios CPUs de AMD basados en Zen. Parece muy grave (y en realidad tal vez lo sea), pero hay varias cosas raras que llaman la atención:
- La empresa de seguridad que hizo el descubrimiento y el anuncio es prácticamente desconocida, basada en Israel y cuyo sitio web data recién el año pasado.
-Le dieron 24 horas de aviso a AMD de las vulnerabilidades antes de hacer el anuncio público /en vez de los meses que hubo con Meltdown y Spectre).
-Al momento de hacer el anuncio ya tenían completamente diseñado un sitio web del tema, llamado "AMDflaws", con nombres llamtivos para estas vulnerabilidades e íconos o un diseño para cada una. También subieron videos a youtube como dirigidos a público en general (lenguaje más bien básico y general).
-Otros detalles que se pueden ver en los links y comentarios de foros.
-Dan a entender que las vulnerabilidades son "muy malas", pero lo que se desprende del mismo documento publicado por ellos al respecto (que curiosamente está alojado en otro sitio y no en el de ellos), las vulnerabilidades requieren que el atacante ya tenga privilegios administrativos e incluso una vulnerabilidad requiere flasheo de BIOS (o sea, te lo tienen que tener bien adentro antes de poder hacer algo, o dicho de otra forma, aunque no existieran estas vulnerabilidades en esa situación estás cagado igual).
Las opiniones generales de editores y usuarios de foros que saben más que yo del tema, es que es absolutamente irregular dar tan poco tiempo de aviso a AMD, y que pareciera que más que primar el interés general de seguridad, todo está diseñado para causar impacto y darse a conocer. Algunos piensan que todo es falso, y especulan que todo puede estar destinado a guiar una modificación de las acciones de AMD para hacer una ganancia rápida. Yo creo que sí existen pero que no es para tanto y además la compañía me parece muy poco responsable.
links:
https://www.techpowerup.com/242328/...d-in-amd-zen-architecture-including-backdoors
https://www.anandtech.com/show/1252...lish-ryzen-flaws-gave-amd-24-hours-to-respond
https://www.hardocp.com/news/2018/03/13/amd_cpu_attack_vectors_vulnerabilities
http://www.guru3d.com/news-story/13...doors-discovered-in-amd-ryzen-processors.html
Última modificación: