AMD te anonse eliminasyon 22 vilnerabilite nan premye, dezyèm ak twazyèm jenerasyon pwosesè sèvè seri AMD EPYC, sa ki pèmèt operasyon PSP (Platform Security Processor), SMU (System Management Unit) ak SEV (Secure Encrypted Virtualization) teknoloji konpwomèt. . Yo te idantifye 6 pwoblèm nan 2020, ak 16 nan 2021. Pandan rechèch sekirite entèn yo, anplwaye Google yo te idantifye 11 frajilite yo, 6 pa Oracle ak 5 pa Microsoft.
Mizajou ansanm AGESA (AMD Jenerik Encapsulated Software Architecture) firmwèr yo te lage pou manifaktirè ekipman OEM, bloke manifestasyon an nan pwoblèm nan yon fason wonn. Konpayi tankou HP, Dell, Supermicro ak Lenovo te deja pibliye BIOS ak UEFI mizajou firmwèr pou sistèm sèvè yo.
4 vilnerabilite yo klase kòm danjere (detay yo poko divilge):
- CVE-2020-12954 - kapasite pou kontoune mekanis pwoteksyon SPI ROM atravè manipilasyon sèten paramèt chipset entèn yo. Vilnerabilite a pèmèt yon atakè fè chanjman nan SPI Flash pou prezante kòd move oswa routki ki envizib nan sistèm nan.
- CVE-2020-12961 - yon vilnerabilite nan processeur PSP (AMD Sekirite Processeur), ki itilize pou kouri yon anviwònman ki pwoteje izole ki pa aksesib nan OS prensipal la, pèmèt yon atakè retabli nenpòt enskri processeur privilejye nan SMN (Rezo Jesyon Sistèm) ak kontoune. SPI ROM pwoteksyon.
- CVE-2021-26331 - Yon erè nan subsistèm SMU (System Management Unit) ki entegre nan processeur a, ki itilize pou jere konsomasyon pouvwa, vòltaj ak tanperati, pèmèt yon itilizatè san privilèj reyalize ekzekisyon kòd ak privilèj ki wo.
- CVE-2021-26335 - Validasyon done antre kòrèk nan loader kòd la pou processeur PSP a fè li posib pou itilize valè atakè kontwole nan etap la anvan tcheke siyati dijital la epi reyalize ekzekisyon kòd yo nan PSP la.
Separeman te note se eliminasyon yon vilnerabilite (CVE-2021-26334) nan AMD μProf toolkit, apwovizyone enkli pou Linux ak FreeBSD, epi yo itilize pou analiz pèfòmans ak konsomasyon pouvwa. Pwoblèm nan prezan nan chofè a AMDPowerProfiler epi li pèmèt yon itilizatè san privilèj. pou jwenn aksè nan MSR (Modèl-Espesifik) anrejistre anrejistre) yo òganize ekzekisyon an nan kòd ou a nan nivo a nan bag la pwoteksyon zewo (bag-0). Se vilnerabilite a fiks nan amduprof-3.4-502 pou Linux ak AMDuProf-3.4.494 pou Windows.
Pandan se tan, Intel te pibliye rapò chak trimès sou frajilite nan pwodwi li yo, ki soti nan ki pwoblèm sa yo soti:
- CVE-2021-0146 se yon vilnerabilite nan processeurs Intel Pentium, Celeron ak Atom pou sistèm mobil ak biwo ki pèmèt yon itilizatè ki gen aksè fizik nan ekipman an reyalize ogmantasyon privilèj lè li aktive mòd debogaj.
- CVE-2021-0157, CVE-2021-0158 se vilnerabilite nan kòd referans BIOS yo bay pou inisyalize processeurs Intel Xeon (E/W/Scalable), Nwayo (7/10/11gen), Celeron (N) ak Pentium Silver. Pwoblèm yo koze pa kòrèk D' validation ou pa kòrèk kontwòl flux nan du BIOS Et pèmèt privilèj escalade lè aksè lokal disponib.
Sous: opennet.ru