AMD descobre novas vulnerabilidades que afetam CPUs Zen 1, 2, 3, 4, mitigações de BIOS lançadas

A AMD divulgou novas vulnerabilidades no BIOS em todas as suas gerações de CPU Zen, o que afetou particularmente a conexão SPI, comprometendo a segurança.

As vulnerabilidades recém-descobertas da AMD podem levar potencialmente a comprometimentos de segurança de alto nível, afetando todas as gerações de CPUs Zen, mas correções de BIOS lançadas

O surgimento de vulnerabilidades em arquiteturas de CPU não é surpreendente, mas desta vez, a AMD aparentemente descobriu algo muito maior, impactando uma base de consumidores mais extensa, e a gravidade disso também está listada como “alta”. Além disso, as vulnerabilidades descobertas também entram no BIOS da placa-mãe; portanto, o assunto é realmente delicado e, segundo a AMD, as consequências do mencionado incluem o “gatilho” de códigos arbitrários e muito mais.

Indo para os detalhes, a AMD menciona que a vulnerabilidade é dividida em quatro comprometimentos diferentes e depende de “bagunçar” sua interface SPI, o que pode levar a atividades maliciosas, como negação de serviço, execução de códigos arbitrários e o ignorar a integridade do seu sistema. A Equipe Red descreveu as vulnerabilidades em vários CVEs, e você pode ver as descobertas abaixo para ter uma ideia de quão caro isso pode ser:

CVE	Gravidade	Descrição do CVE
CVE-2023-20576	Alto	A verificação insuficiente da autenticidade dos dados na AGESA pode permitir que um invasor atualize os dados da ROM SPI, resultando potencialmente em negação de serviço ou escalonamento de privilégios.
CVE-2023-20577	Alto	Um heap overflow no módulo SMM pode permitir que um invasor tenha acesso a uma segunda vulnerabilidade que permite a gravação em flash SPI, resultando potencialmente na execução arbitrária de código.
CVE-2023-20579	Alto	O controle de acesso inadequado no recurso de proteção AMD SPI pode permitir que um usuário com acesso privilegiado Ring0 (modo kernel) ignore as proteções, resultando potencialmente em perda de integridade e disponibilidade.
CVE-2023-20587	Alto	O controle de acesso inadequado no modo de gerenciamento do sistema (SMM) pode permitir que invasores acessem o flash SPI, levando potencialmente à execução arbitrária de código.

No entanto, o bom é que para se protegerem das vulnerabilidades mencionadas acima, a AMD aconselhou seus consumidores a atualizarem para as versões mais recentes do AGESA, que a empresa já lançou.

As novas versões visam mitigações para todas as linhas de CPU AMD Ryzen, junto com as séries EPYC, Threadripper e Embedded da AMD também, o que mostra que, contanto que você tenha a versão correta do AGESA carregada em seus sistemas, não será muito difícil. grande negócio. No entanto, WeUs específicos, como as APUs Ryzen 4000G e 5000G, não receberam patches de mitigação em suas respectivas placas-mãe, o que pode causar preocupações. Isto depende principalmente dos fabricantes da placa-mãe. Ainda assim, acreditamos que as novas versões do AGESA serão adotadas em breve.

CVE (AMD)		Processadores de desktop Ryzen série 3000	Processadores de desktop Ryzen série 5000	Processadores de desktop Ryzen série 5000 com gráficos Radeon	Processadores Ryzen Série 7000	Processadores de desktop Athlon série 3000 com gráficos Radeon	Processadores de desktop Ryzen série 4000 com gráficos Radeon
Versão mínima para mitigar todos os CVEs listados		ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (Target Mar 2024)	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM4v2PI 1.2.0.C (2024-02-07)	ComboAM5 1.0.8.0 (2023-8-29)	ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (Target Mar 2024)	ComboAM4v2PI 1.2.0.C (2024-02-07)
CVE-2023-20576	Alto	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM4v2v 1.2.0.B (2023-08-25)	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM5 1.0.0.7b (21/07/2023)	Não afetado	ComboAM4v2 1.2.0.B (2023-08-25)
CVE-2023-20577	Alto	ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (Target Mar 2024)	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM4v2 1.2.0.B (2023-08-25)	ComboAM5 1.0.0.7b (21/07/2023)	ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (Target Mar 2024)	ComboAM4v2 1.2.0.B (2023-08-25)
CVE-2023-20579	Alto	Não afetado	Não afetado	ComboAM4v2PI 1.2.0.C (2024-02-07)	ComboAM5 1.0.8.0 (2023-8-29)	Não afetado	ComboAM4v2PI 1.2.0.C (2024-02-07)
CVE-2023-20587	Alto	Não afetado	Não afetado	Não afetado	Não afetado	Não afetado	Não afetado

CVE (AMD)		Processadores Ryzen Série 6000 com gráficos Radeon	Processadores Ryzen série 7035 com gráficos Radeon	Processadores Ryzen Série 5000 com gráficos Radeon	Processadores Ryzen Série 3000 com gráficos Radeon	Processadores Ryzen Série 7040 com gráficos Radeon	Processadores móveis Ryzen série 7045
Versão mínima para mitigar todos os CVEs listados		RembrandtPI-FP7 1.0.0.A (2023-12-28)	RembrandtPI-FP7 1.0.0.A (2023-12-28)	CezannePI-FP6 1.0.1.0 (2024-01-25)	CezannePI-FP6 1.0.1.0 (2024-01-25)	PhoenixPI-FP8-FP7 1.1.0.0 (06/10/2023)	DragonRangeFL1PI 1.0.0.3b (30/08/2023)
CVE-2023-20576	Alto	RembrandtPI-FP7 1.0.0.9b (13/09/2023)	RembrandtPI-FP7 1.0.0.9b (13/09/2023)	Não afetado	Não afetado	PhoenixPI-FP8-FP7 1.0.0.2 (02/08/2023)	DragonRangeFL1PI 1.0.0.3a (24/05/2023)
CVE-2023-20577	Alto	RembrandtPI-FP7 1.0.0.9b (13/09/2023)	RembrandtPI-FP7 1.0.0.9b (13/09/2023)	CezannePI-FP6 1.0.0.F (2023-6-20)	CezannePI-FP6 1.0.0.F (2023-6-20)	PhoenixPI-FP8-FP7 1.0.0.2 (02/08/2023)	DragonRangeFL1PI 1.0.0.3a (24/05/2023)
CVE-2023-20579	Alto	RembrandtPI-FP7 1.0.0.A (2023-12-28)	RembrandtPI-FP7 1.0.0.A (2023-12-28)	CezannePI-FP6 1.0.1.0 (2024-01-25)	CezannePI-FP6 1.0.1.0 (2024-01-25)	PhoenixPI-FP8-FP7 1.1.0.0 (06/10/2023)	DragonRangeFL1PI 1.0.0.3b (30/08/2023)
CVE-2023-20587	Alto	Não afetado	Não afetado	Não afetado	Não afetado	Não afetado	Não afetado