AMD e Intel salen a tranquilizar a sus usuarios ante recientes vulnerabilidades

Tanto AMD como Intel salieron a tranquilizar a sus usuarios luego de que un equipo de Google revelara que había vulnerabilidades en los chips fabricados por ambas corporaciones y que están en millones de computadoras ensambladas en el útimo lustro. La divulgación pública del 3 de enero de que varios equipos de investigación habían descubierto problemas de seguridad relacionados con la forma en que los microprocesadores modernos manejan la ejecución especulativa ha puesto de manifiesto la vigilancia constante necesaria para proteger y garantizar los datos. Estas amenazas buscan eludir los controles de arquitectura de microprocesador que preservan datos seguros.

En una Carta abierta, Brian Krzanich, CEO de Intel Corporation, se dirige a los líderes de la industria de tecnología, señalando que el lunes 15 de enero estarán emitidas las actualizaciones para que, al menos un 90% de los equipos afectados por las vulnerabilidades descubiertas por Google para que las PC de los últimos 5 años, estén bajo marcos de seguridad. Su carta dice textualmente:

Tras los anuncios de las cuestiones de seguridad del Google Project Zero la semana pasada, Intel ha continuado trabajando estrechamente con nuestros socios con el objetivo compartido de restablecer la confianza en la seguridad de los datos de nuestros clientes lo más rápido posible. Como destaqué en mis comentarios en el CES esta semana, la colaboración en la industria ha sido notable. Estoy muy orgulloso de cómo nuestra industria se ha unido y quiero agradecer a todos por su extraordinaria colaboración. En particular, agradecemos al equipo de Google Project Zero por practicar la divulgación responsable, creando la oportunidad para que la industria aborde estas cuestiones de forma coordinada.

A medida que se desarrolla este proceso, quiero dejar claro cuales son los compromisos de Intel con nuestros clientes. Esta es nuestra promesa:

1. Urgencia, el cliente siempre va primero: Para el 15 de enero, habremos emitido actualizaciones para al menos el 90 por ciento de las CPU de Intel lanzadas en los últimos cinco años, mientras que las actualizaciones disponibles para el resto de estas CPU estarán disponibles a finales de este mismo mes. Después, nos enfocaremos en emitir las actualizaciones para productos más antiguos conforme a la prioridad de nuestros clientes.

2. Comunicaciones transparentes y oportunas: Conforme implementamos los parches de software y firmware, obtenemos un gran aprendizaje. Sabemos que el impacto en el rendimiento varía ampliamente, en función de la carga de trabajo específica, la configuración de la plataforma y la técnica de mitigación. Nos comprometemos a proporcionar informes frecuentes en cuanto al progreso de los proyectos de aplicación de parches, datos de rendimiento y otra información. Estos se pueden encontrar en el sitio web Intel.com.

3. Garantía de seguridad continua: La seguridad de nuestros clientes es una prioridad constante, no una cuestión de una sola vez. Para acelerar la seguridad de toda la industria, nos comprometemos a identificar las vulnerabilidades de seguridad importantes de manera pública, conforme a las reglas de revelación responsable y, además, nos comprometemos a trabajar con la industria para compartir las innovaciones de hardware que acelerarán el progreso a nivel industrial al tratar con canales secundarios de ataques. También nos comprometemos a aportar más fondos para aquellas investigaciones académicas e independientes que traten sobre posibles amenazas a la seguridad.

Alentamos a nuestros socios de la industria a continuar apoyando estas prácticas. Hay funciones importantes para todos; la adopción oportuna de parches de software y firmware por parte de los consumidores y fabricantes de sistemas es fundamental. Asimismo, el intercambio transparente y oportuno de datos de rendimiento por parte de los desarrolladores de hardware y software es esencial para un progreso rápido.

En conclusión, la colaboración continua creará los enfoques más rápidos y efectivos para restablecer la confianza del cliente en la seguridad de sus datos. Esto es lo que todos queremos y nos esforzamos por lograr.- Brian Krzanich.-

Por su lado, Mark Papermaste (foto), chef technology officer de AMD expresa textualmente que: la seguridad es nuestra máxima prioridad y trabajamos continuamente para garantizar la seguridad de nuestros usuarios a medida que surgen nuevos riesgos. Como parte de esa vigilancia, nos gustaría actualizar a la comunidad sobre nuestras acciones para abordar el asunto.

• La variante 1 de Google Project Zero (GPZ) (Bounds Check Bypass o Spectre) es aplicable a los procesadores AMD.
  • Creemos que esta amenaza se puede contener con un patch de sistema operacional (SO) y hemos estado trabajando con los proveedores del SO para abordar este problema.
  • Microsoft está distribuyendo parches para la mayoría de los sistemas AMD ahora. Estamos trabajando estrechamente con ellos para corregir un problema que detuvo la distribución de parches para algunos procesadores AMD antiguos (familias AMD Opteron, Athlon y AMD Turion X2 Ultra) a principios de esta semana. Esperamos que este problema se corrija en breve y Microsoft deberá reanudar las actualizaciones de estos procesadores para la próxima semana. Para obtener los últimos detalles, consulte el sitio web de Microsoft.
  • Los proveedores de Linux también están implementando parches en los productos de AMD ahora.
• La variante 2 de GPZ (Branch Target Injection o Spectre) es aplicable a los procesadores AMD.
  • Si bien creemos que las arquitecturas de procesador de AMD dificultan la explotación de la Variante 2, continuamos trabajando estrechamente con la industria en esta amenaza. Hemos definido pasos adicionales a través de una combinación de actualizaciones de microcódigo de procesador y parches de SO que pondremos a disposición de los clientes y socios de AMD para mitigar aún más la amenaza.
  • AMD pondrá a disposición actualizaciones de microcódigos opcionales para nuestros clientes y socios para los procesadores Ryzen y EPYC a partir de esta semana. Esperamos hacer disponibles actualizaciones para nuestros productos de la generación anterior en las próximas semanas. Estas actualizaciones de software serán provistas por proveedores de sistema y de sistemas operacionales; verifique con su proveedor la información más reciente sobre la opción disponible para su configuración y requisitos.
  • Los proveedores de Linux han comenzado a implementar parches de SO para sistemas AMD, y estamos trabajando en estrecha colaboración con Microsoft sobre el mejor momento para distribuir sus parches. También estamos colaborando con la comunidad de Linux en el desarrollo de mitigaciones del software “Retorno de trampolín” (Retpoline).
• La variante 3 de GPZ (Rogue Data Cache Load o Meltdown) no es aplicable a los procesadores AMD.
  • Creemos que los procesadores AMD no son susceptibles debido a que usamos un  privilegiado nivel de protecciones dentro de la arquitectura de paginación y no se requiere ninguna mitigación.

 También ha habido dudas sobre las arquitecturas GPU. Las arquitecturas AMD Radeon GPU no utilizan la ejecución especulativa y, por lo tanto, no son susceptibles a estas amenazas.

Proporcionaremos más actualizaciones según corresponda en este website, ya que AMD y la industria continuaremos nuestro trabajo de colaboración para desarrollar soluciones de mitigación para proteger a los usuarios de estas últimas amenazas a la seguridad. Firma Mark Papermaster, senior vice president and chief technology officer.