Correções para as 13 brechas de segurança em chips AMD já estão a caminho
A AMD informou hoje (20) que correções para as 13 falhas de segurança encontradas em seus chips Ryzen e EPYC pela empresa de segurança CTS Labs já estão sendo elaboradas e devem chegar aos consumidores em breve. Ao contrário do que informou a CTS na semana passada, a AMD explicou que todas as falhas poderiam ser corrigidas por uma atualização de firmware — software que é embutido diretamente no hardware.
Foi detalhado também pela fabricante de chips que todas as brechas serão corridas em algumas semanas, em vez dos seis ou mais meses estimados pela CTS. A empresa de segurança também informou que a correção de alguns problemas de hardware poderia impactar no desempenho dos chips comerciais e domésticos das linhas Ryzen e EPYC, mas a AMD afirmou que não haverá nenhum tipo de problema nesse sentido.
A AMD ainda criticou a forma como a CTS Labs agiu ao reportar as falhas nos chips da AMD. A empresa de segurança teria dado menos de 24 horas de prazo para a fabricante de chips consertar as falhas antes delas se tornarem públicas.
Acreditamos que isso serve como um bom exemplo do porquê da existência do padrão de 90 dias de notificação antes da divulgação de falhas
“Cada um dos problemas citados pode ser mitigado através de correções de firmware e atualizações da BIOS, os quais nós esperamos liberar nas próximas semanas”, explicou Sarah Youngbauer, porta-voz da AMD. “Acreditamos que isso serve como um bom exemplo do porquê da existência do padrão de 90 dias de notificação antes da divulgação de falhas”, completou Youngbauer se referindo a falta de prazo que a CTS deu para a AMD antes de publicar seus achados na semana passada.
É interessante destacar ainda que a AMD revelou que a maioria das 13 falhas descobertas só poderia ser explorada caso um hacker tivesse acesso de administrador a uma máquina com os chips afetados. Nesse caso, se o criminoso já tem esse acesso, ele não precisa explorar eventuais problemas do processador para roubar informações do usuário ou espioná-lo, pois existem incontáveis formas de se fazer isso com muito menos trabalho.
Existe ainda a possibilidade de pessoal envolvido na CTS ter interesse comercial em degradar a imagem da AMD, a fim de ganhar vantagem na compra e venda de ações da companhia no mercado de ações. O relatório da CTS publicado na terça-feira passada teria vazado uma semana antes disso para uma empresa de investimentos, a qual, com informações privilegiadas, teria tentado derrubar o preço das ações da AMD.
