A AMD divulgou a existência de 31 novas vulnerabilidades de segurança, que afectam as gamas de CPU Ryzen e EPYC. Esta divulgação veio acompanhada de uma lista de actualizações que servem para mitigar os problemas de segurança nos processadores que estão na lista de hardware vulnerável.
Esta divulgação de problemas de segurança por parte da AMD, foi coordenada com várias equipas de segurança de informática de empresas como a Google, Apple e Oracle. Isto deu tempo à AMD para desenvolver as actualizações de segurança antes do anúncio da existência das vulnerabilidades. No entanto, o anúncio não foi feito através de um press release ou através de publicações em redes sociais, a empresa limitou-se a publicar uma lista.
Na lista, a AMD também publicou as várias alterações ao código AGESA, usado para construir o software da BIOS e UEFI, que foram distribuídas ao vários parceiros OEM. Isto quer dizer que as actualizações de BIOS e UEFI podem demorar a chegar, dependendo dos fabricantes. Não foi divulgado se estas actualizações de firmware vão ter impacto no desempenho dos sistemas afectados.
As vulnerabilidades, incluem três novas variantes que afectam toda a gama de processadores Ryzen, dos modelos para desktop, aos para portáteis. Uma destas novas variantes foi classificada como sendo de severidade alta, as outras duas são de nível médio e baixo. As vulnerabilidades podem ser exploradas através da BIOS ou através de um ataque ao bootloader AMD Secure Processor (ASP).
As vulnerabilidades incluem os Ryzen 2000 Pinnacle Ridge para PC desktop, os APU das séries 2000 e 5000 com gráficos integrados (Raven Ridge e Cezanne). Para além destes, os Threadripper 2000 e 3000 e Pro também são afectados. Os processadores para computadores portáteis das séries Ryzen 2000, 3000, 5000, 6000 e Athlon 3000 também são afectados.
Na mesma lista, a AMD também mencionou 28 vulnerabilidades para os processadores para datacenters da gama EPYC. Quatro delas foram classificadas como sendo de severidade alta. Três destas vulnerabilidades permitem a execução arbitrária de código através de vários vectores de ataque. Outras permitem a alteração de zonas da memória, o que pode resultar na perda da integridade e disponibilidade dos dados. Foram também descobertas outras 15 vulnerabilidades que foram classificadas de severidade média e nove de baixa severidade.
Os CPU da AMD sempre tiverem menos vulnerabilidades de segurança que os Intel. Apesar disto, é difícil de perceber se a menor quantidade de vulnerabilidades foram descobertas no hardware da AMD se ficaram a dever a um melhor design de segurança, ou se os especialistas se empenharam mais na análise do hardware da Intel, por causa da maior quota de mercado, o que leva estes produtos a serem os preferidos para ataques.
