AMD odkrywa nowe luki w zabezpieczeniach procesorów Zen 1, 2, 3, 4, opublikowano zabezpieczenia BIOS-u

AMD odkrywa nowe luki w zabezpieczeniach procesorów Zen 1, 2, 3, 4, opublikowano zabezpieczenia BIOS-u

AMD ujawniło nowe luki po stronie BIOS-u we wszystkich generacjach procesorów Zen, które szczególnie wpływają na połączenie SPI, zagrażając bezpieczeństwu.

Nowo odkryte luki w zabezpieczeniach AMD mogą potencjalnie prowadzić do naruszeń bezpieczeństwa wysokiego poziomu, dotyczą wszystkich generacji procesorów Zen, ale wydano poprawki BIOS-u

Pojawienie się luk w zabezpieczeniach architektur procesorów nie jest zaskakujące, ale tym razem AMD najwyraźniej odkryło coś znacznie większego, wpływającego na szerszą bazę konsumentów, a ważność tej luki również tym razem została określona jako „wysoka”. Co więcej, wykryte luki przenikają również z BIOS-u płyty głównej; w związku z tym sprawa jest rzeczywiście delikatna i według AMD konsekwencje wspomnianych działań obejmują „wyzwalanie” dowolnych kodów i wiele więcej.

Przechodząc do szczegółów, AMD wspomina, że ​​luka dzieli się na cztery różne kompromisy i opiera się na „zamieszaniu” w interfejsie SPI, co może prowadzić do złośliwych działań, takich jak odmowa usługi, wykonanie dowolnych kodów i obejście integralności systemu. Zespół Red opisał luki w wielu CVE, a poniżej możesz zapoznać się z ich wynikami, aby zorientować się, jak kosztowne może to być:

CVE Powaga Opis CVE
CVE-2023-20576 Wysoki Niewystarczająca weryfikacja autentyczności danych w AGESA może pozwolić atakującemu na aktualizację danych SPI ROM, co może skutkować odmową usługi lub eskalacją uprawnień.
CVE-2023-20577 Wysoki Przepełnienie sterty w module SMM może umożliwić atakującemu dostęp do drugiej luki umożliwiającej zapis do pamięci flash SPI, co może skutkować wykonaniem dowolnego kodu.
CVE-2023-20579 Wysoki Niewłaściwa kontrola dostępu w funkcji ochrony AMD SPI może pozwolić użytkownikowi z uprzywilejowanym dostępem Ring0 (tryb jądra) na obejście zabezpieczeń, co może skutkować utratą integralności i dostępności.
CVE-2023-20587 Wysoki Niewłaściwa kontrola dostępu w trybie zarządzania systemem (SMM) może umożliwić atakującym dostęp do pamięci flash SPI, co może prowadzić do wykonania dowolnego kodu.

Jednak dobrą rzeczą jest to, że aby zabezpieczyć się przed wspomnianymi powyżej lukami, AMD doradziło swoim klientom aktualizację do najnowszych wersji AGESA, które firma już wypuściła.

Nowe wersje mają na celu złagodzenie skutków dla wszystkich linii procesorów AMD Ryzen, a także serii AMD EPYC, Threadripper i Embedded, co pokazuje, że jeśli do swoich systemów zostanie załadowana poprawna wersja AGESA, nie będzie to zbyt dużym problemem Wielka sprawa. Jednak określone urządzenia WeU, takie jak APU Ryzen 4000G i 5000G, nie otrzymały poprawek łagodzących na swoich płytach głównych, co może budzić obawy. Zależy to głównie od producentów płyt głównych. Mimo to wierzymy, że nowe wersje AGESA zostaną wkrótce przyjęte.

CVE (AMD) Procesory do komputerów stacjonarnych z serii Ryzen 3000 Procesory do komputerów stacjonarnych z serii Ryzen 5000 Procesory do komputerów stacjonarnych z serii Ryzen 5000 z grafiką Radeon Procesory Ryzen z serii 7000 Procesory do komputerów stacjonarnych serii Athlon 3000 z grafiką Radeon Procesory do komputerów stacjonarnych z serii Ryzen 4000 z grafiką Radeon
Minimalna wersja ograniczająca wszystkie wymienione CVE ComboAM4v2
1.2.0.B
(25.08.2023)ComboAM4
1.0.0.B
(cel: marzec 2024 r.)		 ComboAM4v2
1.2.0.B
(25.08.2023)		 ComboAM4v2PI
1.2.0.C
(07.02.2024)		 ComboAM5
1.0.8.0
(29.8.2023)		 ComboAM4v2
1.2.0.B
(25.08.2023)ComboAM4
1.0.0.B
(cel: marzec 2024 r.)		 ComboAM4v2PI
1.2.0.C
(07.02.2024)
CVE-2023-20576 Wysoki ComboAM4v2
1.2.0.B
(25.08.2023)		 ComboAM4v2v
1.2.0.B
(25.08.2023)		 ComboAM4v2
1.2.0.B
(25.08.2023)		 ComboAM5
1.0.0.7b
(21.07.2023)		 Nie dotyczy ComboAM4v2
1.2.0.B
(25.08.2023)
CVE-2023-20577 Wysoki ComboAM4v2
1.2.0.B
(25.08.2023)ComboAM4
1.0.0.B
(cel: marzec 2024 r.)		 ComboAM4v2
1.2.0.B
(25.08.2023)		 ComboAM4v2
1.2.0.B
(25.08.2023)		 ComboAM5
1.0.0.7b
(21.07.2023)		 ComboAM4v2
1.2.0.B
(25.08.2023)ComboAM4 1.0.0.B
(cel: marzec 2024 r.)		 ComboAM4v2
1.2.0.B
(25.08.2023)
CVE-2023-20579 Wysoki Nie dotyczy Nie dotyczy ComboAM4v2PI
1.2.0.C
(07.02.2024)		 ComboAM5
1.0.8.0
(29.8.2023)		 Nie dotyczy ComboAM4v2PI
1.2.0.C
(07.02.2024)
CVE-2023-20587 Wysoki Nie dotyczy Nie dotyczy Nie dotyczy Nie dotyczy Nie dotyczy Nie dotyczy
CVE (AMD) Procesory Ryzen serii 6000 z grafiką Radeon Procesory Ryzen serii 7035 z grafiką Radeon Procesory Ryzen serii 5000 z grafiką Radeon Procesory Ryzen serii 3000 z grafiką Radeon Procesory Ryzen serii 7040 z grafiką Radeon Procesory mobilne z serii Ryzen 7045
Minimalna wersja ograniczająca wszystkie wymienione CVE RembrandtPI-FP7
1.0.0.A
(28.12.2023)		 RembrandtPI-FP7
1.0.0.A
(28.12.2023)		 CezannePI-FP6
1.0.1.0
(25.01.2024)		 CezannePI-FP6
1.0.1.0
(25.01.2024)		 PhoenixPI-FP8-FP7
1.1.0.0
(06.10.2023)		 DragonRangeFL1PI
1.0.0.3b
(30.08.2023)
CVE-2023-20576 Wysoki RembrandtPI-FP7
1.0.0.9b
(13.09.2023)		 RembrandtPI-FP7
1.0.0.9b
(13.09.2023)		 Nie dotyczy Nie dotyczy PhoenixPI-FP8-FP7
1.0.0.2
(2023-08-02)		 DragonRangeFL1PI
1.0.0.3a
(24.05.2023)
CVE-2023-20577 Wysoki RembrandtPI-FP7
1.0.0.9b
(13.09.2023)		 RembrandtPI-FP7
1.0.0.9b
(13.09.2023)		 CezannePI-FP6
1.0.0.F
(2023-6-20)		 CezannePI-FP6
1.0.0.F
(2023-6-20)		 PhoenixPI-FP8-FP7
1.0.0.2
(2023-08-02)		 DragonRangeFL1PI
1.0.0.3a
(24.05.2023)
CVE-2023-20579 Wysoki RembrandtPI-FP7
1.0.0.A
(28.12.2023)		 RembrandtPI-FP7
1.0.0.A
(28.12.2023)		 CezannePI-FP6
1.0.1.0
(25.01.2024)		 CezannePI-FP6
1.0.1.0
(25.01.2024)		 PhoenixPI-FP8-FP7
1.1.0.0
(06.10.2023)		 DragonRangeFL1PI 1.0.0.3b
(30.08.2023)
CVE-2023-20587 Wysoki Nie dotyczy Nie dotyczy Nie dotyczy Nie dotyczy Nie dotyczy Nie dotyczy

Źródło wiadomości: AMD

Powiązane artykuły:

Kontroluj armię! Kody (luty 2024)
Embracer nadal czeka kilka większych procesów zbycia; Publikowanie przez strony trzecie będzie bardziej selektywne

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *