Las vulnerabilidades en los procesadores son cada vez más habituales, pero tras las conocidas como Meltdown y Spectre que afectaban a los procesadores de Intel se puso la mirada en las mecánicas menos evidentes de los procesadores para intentar encontrar nuevas brechas. Esas suelen ser las vulnerabilidades de canal lateral que aprovechan alguna característica física del procesador para acceder a la información que procesa en lugar de sus características lógicas. La última es Hertzbleed, que afecta a los procesadores de Intel y AMD.
Como no hay vulnerabilidad importante sin un buen logo, el de Hertzbleed es el que se ve en la imagen de cabecera, y tampoco faltan los códigos de vulnerabilidad, CVE-2022-24436 y CVE-2022-23823. Esta vulnerabilidad de canal lateral se basa en la observación de la frecuencia turbo y consumo del procesador para conseguir extraer las claves de cifrado AES. Específicamente, al sistema de escalado dinámico de frecuencia y voltaje que está implementado en prácticamente todos los procesadores modernos.
Es una vulnerabilidad grave ya que se puede explotar remotamente. Intel ya ha hablado de ella al ser quien la descubrió aunque un grupo de expertos en seguridad también se la notificó hace seis meses mientras Intel estaba investigándola. AMD tiene que hablar sobre este tema, y puede que afecte también a los procesadores de otras compañías y arquitecturas, como los de Qualcomm, Samsung o Apple.
Afecta a los procesadores de arquitectura Zen 2 y Zen 3 de AMD así como a todos los procesadores de Intel. Las buenas noticias es que no es una vulnerabilidad que se pueda explotar rápidamente, sino que puede llevar horas o días conseguir extraer la clave de cifrado. Por eso la compañía simplemente ha distribuido varias sugerencias o mitigaciones para corregir el código de programas o bibliotecas de cifrado que puedan ser susceptibles de este ataque de canal lateral basadas en las aportadas por el grupo externo que lo notificó a Intel.
No tendrá efecto en el rendimiento general del PC, pero sí en esas aplicaciones que hagan uso de las mitigaciones distribuidas. La caída de rendimiento dependerá de la mitigación, pero la protección completa requiere de eliminar la frecuencia turbo y por tanto impactará enormemente en el rendimiento.
Vía: Tom's Hardware.