AMD prepara el despliegue de nuevas versiones de BIOS/UEFI basadas en el microcódigo AGESA V2 1.2.0.E, dirigidas a solucionar una vulnerabilidad de seguridad que afecta a una amplia gama de procesadores Zen 2, Zen 3 y Zen 4. Identificada como CVE-2024-36347, esta falla fue reportada inicialmente por investigadores de Google y permitiría a un atacante con privilegios de administrador cargar microcódigos maliciosos no firmados. Aunque no se considera crítica, el alcance del problema abarca plataformas de escritorio, portátiles, servidores y estaciones de trabajo.
La vulnerabilidad afecta a múltiples arquitecturas
Denominada como “AMD Microcode Signature Verification Vulnerability”, esta brecha permite cargar parches de microcódigo con firmas falsificadas, eludiendo la verificación legítima de AMD. La compañía reconoció que la causa está en una debilidad del algoritmo de verificación, lo que abre la posibilidad de ejecutar código malicioso a nivel de firmware si el atacante tiene acceso administrativo al sistema.
Aunque AMD asegura que no existen casos documentados de explotación, los sistemas con arquitecturas Zen 2, Zen 3 y Zen 4 siguen siendo vulnerables hasta aplicar el parche correspondiente. Algunos sistemas operativos, como Linux, implementaron mitigaciones parciales, pero la solución definitiva llega ahora mediante nuevas versiones de AGESA distribuidas a los fabricantes de placas base.
AGESA V2 1.2.0.E
El parche de AMD se distribuye en diferentes versiones según la plataforma afectada. En el caso de AM4, se implementará con AGESA V2 1.2.0.E o 1.0.0.D, mientras que las actualizaciones para AM5, estaciones de trabajo, servidores y portátiles también recibirán versiones específicas. Las nuevas BIOS/UEFI estarán disponibles pronto en los sitios web de cada fabricante, por lo que los usuarios deben mantenerse atentos para actualizar sus equipos.
Las arquitecturas afectadas incluyen modelos ampliamente distribuidos como Matisse, Vermeer, Cezanne, Raphael, Rembrandt y variantes para servidores como Milan, Genoa o Bergamo, entre otros. Dado su alcance, esta actualización se convierte en crítica para mantener la integridad del sistema, especialmente en entornos corporativos y servidores.
Fuente: AMD
