এএমডি এবং ইন্টেল প্রসেসরে দুর্বলতা

AMD এএমডি EPYC সিরিজের সার্ভার প্রসেসরের প্রথম, দ্বিতীয় এবং তৃতীয় প্রজন্মের মধ্যে 22টি দুর্বলতা দূর করার ঘোষণা দিয়েছে, যার ফলে PSP (প্ল্যাটফর্ম সিকিউরিটি প্রসেসর), SMU (সিস্টেম ম্যানেজমেন্ট ইউনিট) এবং SEV (সিকিউর এনক্রিপ্টেড ভার্চুয়ালাইজেশন) প্রযুক্তিগুলিকে আপোস করা যাবে। . 6 সালে 2020টি এবং 16 সালে 2021টি সমস্যা চিহ্নিত করা হয়েছিল। অভ্যন্তরীণ নিরাপত্তা গবেষণার সময়, Google কর্মীদের দ্বারা 11টি দুর্বলতা চিহ্নিত করা হয়েছিল, 6টি ওরাকল এবং 5টি মাইক্রোসফ্ট দ্বারা।

AGESA (AMD জেনেরিক এনক্যাপসুলেটেড সফ্টওয়্যার আর্কিটেকচার) ফার্মওয়্যারের আপডেট করা সেটগুলি OEM সরঞ্জাম প্রস্তুতকারকদের জন্য প্রকাশ করা হয়েছে, যা গোলচক্কর উপায়ে সমস্যাগুলিকে অবরুদ্ধ করে৷ HP, Dell, Supermicro এবং Lenovo এর মতো কোম্পানিগুলি ইতিমধ্যে তাদের সার্ভার সিস্টেমের জন্য BIOS এবং UEFI ফার্মওয়্যার আপডেট প্রকাশ করেছে৷

4টি দুর্বলতা বিপজ্জনক হিসাবে শ্রেণীবদ্ধ করা হয়েছে (বিস্তারিত এখনও প্রকাশ করা হয়নি):

• CVE-2020-12954 - নির্দিষ্ট অভ্যন্তরীণ চিপসেট সেটিংসের ম্যানিপুলেশনের মাধ্যমে SPI ROM সুরক্ষা প্রক্রিয়াগুলিকে বাইপাস করার ক্ষমতা। দুর্বলতা একটি আক্রমণকারীকে SPI ফ্ল্যাশে পরিবর্তন করতে দেয় যাতে সিস্টেমে অদৃশ্য দূষিত কোড বা রুটকিটগুলি প্রবর্তন করা যায়৷
• CVE-2020-12961 - PSP প্রসেসরের একটি দুর্বলতা (AMD সিকিউরিটি প্রসেসর), যা একটি সুরক্ষিত বিচ্ছিন্ন পরিবেশ চালানোর জন্য ব্যবহৃত হয় যা প্রধান OS থেকে অ্যাক্সেসযোগ্য নয়, এটি একজন আক্রমণকারীকে SMN (সিস্টেম ম্যানেজমেন্ট নেটওয়ার্ক) এবং বাইপাস-এ যেকোনো সুবিধাপ্রাপ্ত প্রসেসর রেজিস্টার রিসেট করতে দেয়। এসপিআই রম সুরক্ষা।
• CVE-2021-26331 - প্রসেসরে একত্রিত SMU (সিস্টেম ম্যানেজমেন্ট ইউনিট) সাবসিস্টেমের একটি ত্রুটি, যা পাওয়ার খরচ, ভোল্টেজ এবং তাপমাত্রা পরিচালনা করতে ব্যবহৃত হয়, এটি একটি সুবিধাবঞ্চিত ব্যবহারকারীকে উন্নত সুবিধা সহ কোড এক্সিকিউশন অর্জন করতে দেয়।
• CVE-2021-26335 - PSP প্রসেসরের জন্য কোড লোডারে ভুল ইনপুট ডেটা বৈধতা ডিজিটাল স্বাক্ষর চেক করার আগে পর্যায়ে আক্রমণকারী-নিয়ন্ত্রিত মানগুলি ব্যবহার করা এবং PSP-তে তাদের কোড সম্পাদন করা সম্ভব করে তোলে।

AMD μProf টুলকিটে একটি দুর্বলতা দূরীকরণ (CVE-2021-26334) আলাদাভাবে উল্লেখ করা হয়েছে, যা Linux এবং FreeBSD সহ সরবরাহ করা হয়েছে, এবং কর্মক্ষমতা এবং শক্তি খরচ বিশ্লেষণের জন্য ব্যবহৃত হয়েছে৷ সমস্যাটি AMDPowerProfiler ড্রাইভারের মধ্যে উপস্থিত রয়েছে এবং এটি একটি সুবিধাবিহীন ব্যবহারকারীকে অনুমতি দেয়৷ MSR (মডেল-নির্দিষ্ট) রেজিস্টারে অ্যাক্সেস পেতে রেজিস্টার) শূন্য সুরক্ষা রিং (রিং-0) স্তরে আপনার কোড কার্যকর করার ব্যবস্থা করতে। Linux-এর জন্য amduprof-3.4-502 এবং Windows-এর জন্য AMDuProf-3.4.494-এ দুর্বলতা স্থির করা হয়েছে।

ইতিমধ্যে, ইন্টেল তার পণ্যগুলির দুর্বলতাগুলির উপর ত্রৈমাসিক প্রতিবেদন প্রকাশ করেছে, যা থেকে নিম্নলিখিত সমস্যাগুলি দাঁড়িয়েছে:

• CVE-2021-0146 হল মোবাইল এবং ডেস্কটপ সিস্টেমের জন্য ইন্টেল পেন্টিয়াম, সেলেরন এবং অ্যাটম প্রসেসরের একটি দুর্বলতা যা ডিভাইসে শারীরিক অ্যাক্সেস সহ ব্যবহারকারীকে ডিবাগ মোডগুলি সক্রিয় করার মাধ্যমে বিশেষাধিকার বৃদ্ধি পেতে দেয়।
• CVE-2021-0157, CVE-2021-0158 হল Intel Xeon (E/W/Scalable), Core (7/10/11gen), Celeron (N) এবং Pentium সিলভার প্রসেসরের প্রাথমিককরণের জন্য সরবরাহ করা BIOS রেফারেন্স কোডের দুর্বলতা। সমস্যাগুলি BIOS ফার্মওয়্যারে ভুল ইনপুট বৈধতা বা ভুল প্রবাহ নিয়ন্ত্রণের কারণে সৃষ্ট হয় এবং স্থানীয় অ্যাক্সেস উপলব্ধ থাকলে বিশেষাধিকার বৃদ্ধির অনুমতি দেয়।

উত্স: opennet.ru