এএমডি এবং ইন্টেল প্রসেসরে দুর্বলতা

AMD এএমডি EPYC সিরিজের সার্ভার প্রসেসরের প্রথম, দ্বিতীয় এবং তৃতীয় প্রজন্মের মধ্যে 22টি দুর্বলতা দূর করার ঘোষণা দিয়েছে, যার ফলে PSP (প্ল্যাটফর্ম সিকিউরিটি প্রসেসর), SMU (সিস্টেম ম্যানেজমেন্ট ইউনিট) এবং SEV (সিকিউর এনক্রিপ্টেড ভার্চুয়ালাইজেশন) প্রযুক্তিগুলিকে আপোস করা যাবে। . 6 সালে 2020টি এবং 16 সালে 2021টি সমস্যা চিহ্নিত করা হয়েছিল। অভ্যন্তরীণ নিরাপত্তা গবেষণার সময়, Google কর্মীদের দ্বারা 11টি দুর্বলতা চিহ্নিত করা হয়েছিল, 6টি ওরাকল এবং 5টি মাইক্রোসফ্ট দ্বারা।

AGESA (AMD জেনেরিক এনক্যাপসুলেটেড সফ্টওয়্যার আর্কিটেকচার) ফার্মওয়্যারের আপডেট করা সেটগুলি OEM সরঞ্জাম প্রস্তুতকারকদের জন্য প্রকাশ করা হয়েছে, যা গোলচক্কর উপায়ে সমস্যাগুলিকে অবরুদ্ধ করে৷ HP, Dell, Supermicro এবং Lenovo এর মতো কোম্পানিগুলি ইতিমধ্যে তাদের সার্ভার সিস্টেমের জন্য BIOS এবং UEFI ফার্মওয়্যার আপডেট প্রকাশ করেছে৷

4টি দুর্বলতা বিপজ্জনক হিসাবে শ্রেণীবদ্ধ করা হয়েছে (বিস্তারিত এখনও প্রকাশ করা হয়নি):

• CVE-2020-12954 - নির্দিষ্ট অভ্যন্তরীণ চিপসেট সেটিংসের ম্যানিপুলেশনের মাধ্যমে SPI ROM সুরক্ষা প্রক্রিয়াগুলিকে বাইপাস করার ক্ষমতা। দুর্বলতা একটি আক্রমণকারীকে SPI ফ্ল্যাশে পরিবর্তন করতে দেয় যাতে সিস্টেমে অদৃশ্য দূষিত কোড বা রুটকিটগুলি প্রবর্তন করা যায়৷
• CVE-2020-12961 - PSP প্রসেসরের একটি দুর্বলতা (AMD সিকিউরিটি প্রসেসর), যা একটি সুরক্ষিত বিচ্ছিন্ন পরিবেশ চালানোর জন্য ব্যবহৃত হয় যা প্রধান OS থেকে অ্যাক্সেসযোগ্য নয়, এটি একজন আক্রমণকারীকে SMN (সিস্টেম ম্যানেজমেন্ট নেটওয়ার্ক) এবং বাইপাস-এ যেকোনো সুবিধাপ্রাপ্ত প্রসেসর রেজিস্টার রিসেট করতে দেয়। এসপিআই রম সুরক্ষা।
• CVE-2021-26331 - প্রসেসরে একত্রিত SMU (সিস্টেম ম্যানেজমেন্ট ইউনিট) সাবসিস্টেমের একটি ত্রুটি, যা পাওয়ার খরচ, ভোল্টেজ এবং তাপমাত্রা পরিচালনা করতে ব্যবহৃত হয়, এটি একটি সুবিধাবঞ্চিত ব্যবহারকারীকে উন্নত সুবিধা সহ কোড এক্সিকিউশন অর্জন করতে দেয়।
• CVE-2021-26335 - PSP প্রসেসরের জন্য কোড লোডারে ভুল ইনপুট ডেটা বৈধতা ডিজিটাল স্বাক্ষর চেক করার আগে পর্যায়ে আক্রমণকারী-নিয়ন্ত্রিত মানগুলি ব্যবহার করা এবং PSP-তে তাদের কোড সম্পাদন করা সম্ভব করে তোলে।

Отдельно отмечается устранение уязвимости (CVE-2021-26334) в инструментарии AMD μProf, поставляемом в том числе для Linux и FreeBSD, и используемом для анализа производительности и энергопотребления Проблема присутствует в драйвере AMDPowerProfiler и позволяет непривилегированному пользователю добиться доступа к регистрам MSR (Model-Specific Register) для организации выполнения своего кода на уровне нулевого кольца защиты (ring-0). Уязвимость устранена в обновлении amduprof-3.4-502 для Linux и AMDuProf-3.4.494 для Windows.

ইতিমধ্যে, ইন্টেল তার পণ্যগুলির দুর্বলতাগুলির উপর ত্রৈমাসিক প্রতিবেদন প্রকাশ করেছে, যা থেকে নিম্নলিখিত সমস্যাগুলি দাঁড়িয়েছে:

• CVE-2021-0146 হল মোবাইল এবং ডেস্কটপ সিস্টেমের জন্য ইন্টেল পেন্টিয়াম, সেলেরন এবং অ্যাটম প্রসেসরের একটি দুর্বলতা যা ডিভাইসে শারীরিক অ্যাক্সেস সহ ব্যবহারকারীকে ডিবাগ মোডগুলি সক্রিয় করার মাধ্যমে বিশেষাধিকার বৃদ্ধি পেতে দেয়।
• CVE-2021-0157, CVE-2021-0158 হল Intel Xeon (E/W/Scalable), Core (7/10/11gen), Celeron (N) এবং Pentium সিলভার প্রসেসরের প্রাথমিককরণের জন্য সরবরাহ করা BIOS রেফারেন্স কোডের দুর্বলতা। সমস্যাগুলি BIOS ফার্মওয়্যারে ভুল ইনপুট বৈধতা বা ভুল প্রবাহ নিয়ন্ত্রণের কারণে সৃষ্ট হয় এবং স্থানীয় অ্যাক্সেস উপলব্ধ থাকলে বিশেষাধিকার বৃদ্ধির অনুমতি দেয়।

উত্স: opennet.ru