Cyhoeddodd AMD ddileu gwendidau 22 yn y genhedlaeth gyntaf, ail a thrydedd genhedlaeth o broseswyr gweinydd cyfres AMD EPYC, gan ganiatΓ‘u i weithrediad technolegau PSP (Platform Security Processor), SMU (Uned Rheoli System) a SEV (Rhithwiroli Diogel) gael eu cyfaddawdu. . Nodwyd 6 problem yn 2020, ac 16 yn 2021. Yn ystod ymchwil diogelwch mewnol, nodwyd gwendidau 11 gan weithwyr Google, 6 gan Oracle a 5 gan Microsoft.
Mae setiau diweddar o firmware AGESA (AMD Generic Encapsulated Software Architecture) wedi'u rhyddhau ar gyfer gweithgynhyrchwyr offer OEM, gan rwystro amlygiad o broblemau mewn ffordd gylchfan. Mae cwmnΓ―au fel HP, Dell, Supermicro a Lenovo eisoes wedi rhyddhau diweddariadau firmware BIOS a UEFI ar gyfer eu systemau gweinydd.
Mae 4 o wendidau wediβu dosbarthu fel rhai peryglus (nid ywβr manylion wediβu datgelu eto):
- CVE-2020-12954 - y gallu i osgoi mecanweithiau amddiffyn SPI ROM trwy drin rhai gosodiadau chipset mewnol. Mae'r bregusrwydd yn caniatΓ‘u i ymosodwr wneud newidiadau i SPI Flash i gyflwyno cod maleisus neu rootkits sy'n anweledig i'r system.
- CVE-2020-12961 - bregusrwydd yn y prosesydd PSP (Prosesydd Diogelwch AMD), a ddefnyddir i redeg amgylchedd ynysig gwarchodedig nad yw'n hygyrch o'r prif OS, yn caniatΓ‘u i ymosodwr ailosod unrhyw gofrestr prosesydd breintiedig yn y SMN (System Management Network) a ffordd osgoi SPI ROM amddiffyn.
- CVE-2021-26331 - Mae gwall yn yr is-system SMU (Uned Rheoli System) wedi'i hintegreiddio i'r prosesydd, a ddefnyddir i reoli defnydd pΕ΅er, foltedd a thymheredd, yn caniatΓ‘u i ddefnyddiwr difreintiedig weithredu ei god gyda breintiau uchel.
- CVE-2021-26335 - Mae dilysu data mewnbwn anghywir yn y llwythwr cod ar gyfer y prosesydd PSP yn ei gwneud hi'n bosibl defnyddio gwerthoedd a reolir gan ymosodwr ar y cam cyn gwirio'r llofnod digidol a chyflawni gweithrediad eu cod yn y rhaglen cymorth Bugeiliol.
Wedi'i nodi ar wahΓ’n yw dileu bregusrwydd (CVE-2021-26334) yn y pecyn cymorth AMD ΞΌProf, a gyflenwir gan gynnwys ar gyfer Linux a FreeBSD, ac a ddefnyddir ar gyfer dadansoddi perfformiad a defnydd pΕ΅er.Mae'r broblem yn bresennol yn y gyrrwr AMDPowerProfiler ac yn caniatΓ‘u defnyddiwr di-freintiedig i gael mynediad i gofrestrau MSR (Model-Benodol) i drefnu gweithrediad eich cod ar lefel y cylch gwarchod sero (cylch-0). Mae'r bregusrwydd yn sefydlog yn amduprof-3.4-502 ar gyfer Linux ac AMDuProf-3.4.494 ar gyfer Windows.
Yn y cyfamser, mae Intel wedi cyhoeddi adroddiadau chwarterol ar wendidau yn ei gynhyrchion, y mae'r problemau canlynol yn amlwg ohonynt:
- Mae CVE-2021-0146 yn agored i niwed ym mhroseswyr Intel Pentium, Celeron ac Atom ar gyfer systemau symudol a bwrdd gwaith sy'n caniatΓ‘u i ddefnyddiwr sydd Γ’ mynediad corfforol i'r offer gyflawni cynnydd braint trwy actifadu moddau dadfygio.
- Mae CVE-2021-0157, CVE-2021-0158 yn wendidau yn y cod cyfeirio BIOS a gyflenwir i gychwyn proseswyr Intel Xeon (E / W / Scalable), Craidd (7/10/11gen), Celeron (N) a Pentium Silver. Mae'r problemau'n cael eu hachosi gan ddilysiad mewnbwn anghywir neu reolaeth llif anghywir yn y firmware BIOS ac yn caniatΓ‘u dwysΓ‘u braint pan fydd mynediad lleol ar gael.
Ffynhonnell: opennet.ru