AMD、Zen 1、2、3、4 CPUに影響する新たな脆弱性を発見、BIOS緩和策をリリース

AMD は、Zen CPU のすべての世代にわたって BIOS 側の新たな脆弱性を明らかにしました。これは特に SPI 接続に影響を及ぼし、セキュリティを侵害します。

AMDの新たに発見された脆弱性は高レベルのセキュリティ侵害につながる可能性があり、全世代のZen CPUに影響を与えるがBIOS修正がリリース

CPU アーキテクチャ全体にわたる脆弱性の出現は驚くべきことではありませんが、今回、AMD は明らかに、より広範囲の消費者ベースに影響を与える、より大きな何かを発見したようで、今回もその深刻度は「高」としてリストされています。さらに、発見された脆弱性はマザーボードの BIOS からも侵入します。したがって、この問題は確かにデリケートであり、AMD によれば、言及された結果には、任意のコードの「トリガー」などが含まれるとのことです。

詳細に入りますと、AMD は、この脆弱性は 4 つの異なる侵害に分類され、SPI インターフェイスの「混乱」に依存しており、これによりサービス拒否、任意のコードの実行、およびシステムの整合性をバイパスします。 Team Red は複数の CVE の脆弱性について説明しており、以下の調査結果を参照して、それがどれほどのコストをもたらす可能性があるかを知ることができます。

CVE	重大度	CVEの説明
CVE-2023-20576	高い	AGESA でのデータの信頼性の検証が不十分な場合、攻撃者が SPI ROM データを更新できる可能性があり、その結果サービス拒否や権限昇格が発生する可能性があります。
CVE-2023-20577	高い	SMM モジュールのヒープオーバーフローにより、攻撃者が SPI フラッシュへの書き込みを可能にする 2 番目の脆弱性へのアクセスを許可され、その結果、任意のコードが実行される可能性があります。
CVE-2023-20579	高い	AMD SPI 保護機能のアクセス制御が不適切なため、Ring0 (カーネルモード) 特権アクセスを持つユーザーが保護をバイパスできる可能性があり、その結果、整合性と可用性が失われる可能性があります。
CVE-2023-20587	高い	システム管理モード (SMM) の不適切なアクセス制御により、攻撃者が SPI フラッシュにアクセスできるようになり、任意のコードが実行される可能性があります。

ただし、良いことは、上記の脆弱性から身を守るために、AMD が消費者に、同社がすでにリリースしている最新の AGESA バージョンに更新するようアドバイスしていることです。

新しいバージョンは、すべての AMD Ryzen CPU ラインナップに加え、AMD の EPYC、Threadripper、Embedded シリーズも緩和策を対象としています。これは、正しい AGESA バージョンがシステムにロードされている限り、大きな問題にはならないことを示しています。大きな取引。ただし、Ryzen 4000G や 5000G APU などの特定の WeU は、それぞれのマザーボードに緩和パッチを受け取っていないため、懸念が生じる可能性があります。これは主にマザーボードのメーカーに依存します。それでも、新しい AGESA バージョンがすぐに採用されると信じています。

CVE (AMD)		Ryzen 3000 シリーズデスクトッププロセッサ	Ryzen 5000 シリーズデスクトッププロセッサ	Radeon グラフィックスを搭載した Ryzen 5000 シリーズデスクトッププロセッサ	Ryzen 7000 シリーズプロセッサ	Radeon グラフィックスを搭載した Athlon 3000 シリーズデスクトッププロセッサ	Radeon グラフィックスを搭載した Ryzen 4000 シリーズデスクトッププロセッサ
リストされているすべての CVE を軽減するための最小バージョン		ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (ターゲット 2024 年 3 月)	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM4v2PI 1.2.0.C (2024-02-07)	コンボAM5 1.0.8.0 (2023-8-29)	ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (ターゲット 2024 年 3 月)	ComboAM4v2PI 1.2.0.C (2024-02-07)
CVE-2023-20576	高い	ComboAM4v2 1.2.0.B (2023-08-25)	コンボAM4v2v 1.2.0.B (2023-08-25)	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM5 1.0.0.7b (2023-07-21)	影響を受けません	ComboAM4v2 1.2.0.B (2023-08-25)
CVE-2023-20577	高い	ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (ターゲット 2024 年 3 月)	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM5 1.0.0.7b (2023-07-21)	ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (ターゲット 2024 年 3 月)	ComboAM4v2 1.2.0.B (2023-08-25)
CVE-2023-20579	高い	影響を受けません	影響を受けません	ComboAM4v2PI 1.2.0.C (2024-02-07)	コンボAM5 1.0.8.0 (2023-8-29)	影響を受けません	ComboAM4v2PI 1.2.0.C (2024-02-07)
CVE-2023-20587	高い	影響を受けません	影響を受けません	影響を受けません	影響を受けません	影響を受けません	影響を受けません

CVE (AMD)		Radeon グラフィックスを搭載した Ryzen 6000 シリーズプロセッサ	Radeon グラフィックスを搭載した Ryzen 7035 シリーズプロセッサ	Radeon グラフィックスを搭載した Ryzen 5000 シリーズプロセッサ	Radeon グラフィックスを搭載した Ryzen 3000 シリーズプロセッサ	Radeon グラフィックスを搭載した Ryzen 7040 シリーズプロセッサ	Ryzen 7045 シリーズモバイルプロセッサ
リストされているすべての CVE を軽減するための最小バージョン		レンブラントPI-FP7 1.0.0.A (2023-12-28)	レンブラントPI-FP7 1.0.0.A (2023-12-28)	セザンヌPI-FP6 1.0.1.0 (2024-01-25)	セザンヌPI-FP6 1.0.1.0 (2024-01-25)	PhoenixPI-FP8-FP7 1.1.0.0 (2023-10-06)	DragonRangeFL1PI 1.0.0.3b (2023-08-30)
CVE-2023-20576	高い	レンブラントPI-FP7 1.0.0.9b (2023-09-13)	レンブラントPI-FP7 1.0.0.9b (2023-09-13)	影響を受けません	影響を受けません	フェニックスPI-FP8-FP7 1.0.0.2 (2023-08-02)	DragonRangeFL1PI 1.0.0.3a (2023-05-24)
CVE-2023-20577	高い	レンブラントPI-FP7 1.0.0.9b (2023-09-13)	レンブラントPI-FP7 1.0.0.9b (2023-09-13)	セザンヌPI-FP6 1.0.0.F (2023-6-20)	セザンヌPI-FP6 1.0.0.F (2023-6-20)	フェニックスPI-FP8-FP7 1.0.0.2 (2023-08-02)	DragonRangeFL1PI 1.0.0.3a (2023-05-24)
CVE-2023-20579	高い	レンブラントPI-FP7 1.0.0.A (2023-12-28)	レンブラントPI-FP7 1.0.0.A (2023-12-28)	セザンヌPI-FP6 1.0.1.0 (2024-01-25)	セザンヌPI-FP6 1.0.1.0 (2024-01-25)	PhoenixPI-FP8-FP7 1.1.0.0 (2023-10-06)	DragonRangeFL1PI 1.0.0.3b (2023-08-30)
CVE-2023-20587	高い	影響を受けません	影響を受けません	影響を受けません	影響を受けません	影響を受けません	影響を受けません