AMD သည် AMD EPYC စီးရီးဆာဗာပရိုဆက်ဆာများ၏ ပထမ၊ ဒုတိယနှင့် တတိယမျိုးဆက်များတွင် အားနည်းချက် 22 ခုကို ဖယ်ရှားပေးခဲ့ပြီး PSP (Platform Security Processor)၊ SMU (System Management Unit) နှင့် SEV (Secure Encrypted Virtualization) နည်းပညာများကို အပေးအယူလုပ်နိုင်စေကြောင်း ကြေညာခဲ့သည်။ . 6 တွင် ပြဿနာ 2020 ခုနှင့် 16 တွင် 2021 ခုကို ဖော်ထုတ်ခဲ့သည်။ အတွင်းလုံခြုံရေး သုတေသနပြုစဉ်အတွင်း Google ဝန်ထမ်းများမှ အားနည်းချက် ၁၁ ခု၊ Oracle မှ 11 ခုနှင့် Microsoft မှ 6 ခုတို့ကို ရှာဖွေတွေ့ရှိခဲ့သည်။
အပ်ဒိတ်လုပ်ထားသော AGESA (AMD Generic Encapsulated Software Architecture) ဖိုင်းဝဲအစုံများကို OEM စက်ပစ္စည်းထုတ်လုပ်သူများအတွက် အဝိုင်းပုံစံဖြင့် ပြဿနာများဖြစ်ပေါ်ခြင်းကို ပိတ်ဆို့ထားသည်။ HP၊ Dell၊ Supermicro နှင့် Lenovo ကဲ့သို့သော ကုမ္ပဏီများသည် ၎င်းတို့၏ဆာဗာစနစ်များအတွက် BIOS နှင့် UEFI ဖိုင်းဝဲအပ်ဒိတ်များကို ထုတ်ပြန်ထားပြီးဖြစ်သည်။
အားနည်းချက် 4 ခုကို အန္တရာယ်အဖြစ် သတ်မှတ်ထားသည် (အသေးစိတ်အချက်အလက်များကို ထုတ်ပြန်ခြင်းမရှိသေးပါ)။
- CVE-2020-12954 - အချို့သော internal chipset ဆက်တင်များကို ခြယ်လှယ်ခြင်းဖြင့် SPI ROM ကာကွယ်ရေး ယန္တရားများကို ကျော်လွှားနိုင်မှု။ အားနည်းချက်သည် တိုက်ခိုက်သူတစ်ဦးအား စနစ်မှမမြင်နိုင်သော အန္တရာယ်ရှိသောကုဒ် သို့မဟုတ် အမြစ်ကုဒ်များကို မိတ်ဆက်ရန်အတွက် SPI Flash ကို အပြောင်းအလဲပြုလုပ်နိုင်စေပါသည်။
- CVE-2020-12961 - PSP ပရိုဆက်ဆာ (AMD လုံခြုံရေးပရိုဆက်ဆာ) ရှိ အားနည်းချက်တစ်ခုသည် ပင်မ OS မှ လက်လှမ်းမမီနိုင်သော ကာကွယ်ထားသော သီးခြားပတ်ဝန်းကျင်ကိုလည်ပတ်ရန်အတွက် အသုံးပြုသည့် အားနည်းချက်ဖြစ်ပြီး တိုက်ခိုက်သူအား SMN (System Management Network) တွင် မည်သည့်အခွင့်ထူးခံ ပရိုဆက်ဆာမှတ်ပုံတင်ခြင်းကို ပြန်လည်သတ်မှတ်ရန်နှင့် ရှောင်ကွင်းနိုင်သည် SPI ROM ကာကွယ်မှု။
- CVE-2021-26331 - ပါဝါသုံးစွဲမှု၊ ဗို့အားနှင့် အပူချိန်တို့ကို စီမံခန့်ခွဲရန် အသုံးပြုသည့် ပရိုဆက်ဆာတွင် ပေါင်းစပ်ထားသော SMU (System Management Unit) ခွဲစနစ်တွင် အမှားအယွင်းတစ်ခုက အခွင့်ထူးခံမဟုတ်သော အသုံးပြုသူတစ်ဦးအား မြင့်မားသောအခွင့်ထူးများဖြင့် ကုဒ်လုပ်ဆောင်မှုကို အောင်မြင်စေသည်။
- CVE-2021-26335 - PSP ပရိုဆက်ဆာအတွက် code loader တွင် မမှန်ကန်သော ထည့်သွင်းမှုဒေတာ validation သည် ဒစ်ဂျစ်တယ်လက်မှတ်ကိုစစ်ဆေးပြီး PSP တွင် ၎င်းတို့၏ကုဒ်ကို အကောင်အထည်ဖော်ခြင်းမပြုမီ အဆင့်တွင် တိုက်ခိုက်သူထိန်းချုပ်ထားသောတန်ဖိုးများကို အသုံးပြုရန် ဖြစ်နိုင်ချေရှိသည်။
သီးခြားမှတ်သားထားသည်မှာ Linux နှင့် FreeBSD အတွက် အပါအဝင် ပံ့ပိုးပေးထားသော AMD μProf ကိရိယာအစုံတွင် အားနည်းချက်တစ်ခု (CVE-2021-26334) ကို ဖယ်ရှားခြင်းဖြစ်ပြီး စွမ်းဆောင်ရည်နှင့် ပါဝါသုံးစွဲမှုဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုအတွက် အသုံးပြုပါသည်။ ပြဿနာသည် AMDPowerProfiler ဒရိုက်ဗာတွင် ရှိနေပြီး အခွင့်ထူးမရှိသော သုံးစွဲသူကို ခွင့်ပြုပါသည်။ MSR (Model-Specific) မှတ်ပုံတင်ခြင်း မှတ်ပုံတင်ခြင်း) သို့ဝင်ရောက်ခွင့်ရရန် သုညအကာအကွယ်ကွင်း (ring-0) အဆင့်တွင် သင့်ကုဒ်၏လုပ်ဆောင်မှုကို စုစည်းရန်။ အားနည်းချက်ကို Linux အတွက် amduprof-3.4-502 နှင့် Windows အတွက် AMDuProf-3.4.494 တွင် ပြင်ဆင်ထားပါသည်။
ဤအတောအတွင်း၊ Intel သည် ၎င်း၏ထုတ်ကုန်များတွင် အားနည်းချက်များဆိုင်ရာ သုံးလပတ်အစီရင်ခံစာများကို ထုတ်ပြန်ခဲ့ပြီး အောက်ပါပြဿနာများကို ထင်ရှားစေပါသည်။
- CVE-2021-0146 သည် မိုဘိုင်းနှင့် ဒက်စတော့စနစ်များအတွက် Intel Pentium၊ Celeron နှင့် Atom ပရိုဆက်ဆာများတွင် အားနည်းချက်တစ်ခုဖြစ်ပြီး အသုံးပြုသူတစ်ဦးအား အမှားရှာပြင်မုဒ်များစဖွင့်ခြင်းဖြင့် အခွင့်ထူးများတိုးမြင့်လာစေရန် စက်ပစ္စည်းများသို့ ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့်ကို ခွင့်ပြုပေးပါသည်။
- CVE-2021-0157၊ CVE-2021-0158 တို့သည် Intel Xeon (E/W/Scalable)၊ Core (7/10/11gen)၊ Celeron (N) နှင့် Pentium Silver ပရိုဆက်ဆာများကို ကနဦးအသုံးပြုရန်အတွက် ထောက်ပံ့ပေးထားသော BIOS ရည်ညွှန်းကုဒ်တွင် အားနည်းချက်များဖြစ်သည်။ အဆိုပါပြဿနာများသည် BIOS firmware တွင် မမှန်သောထည့်သွင်းမှုအတည်ပြုခြင်း သို့မဟုတ် မမှန်သောစီးဆင်းမှုထိန်းချုပ်မှုတို့ကြောင့်ဖြစ်ရခြင်းဖြစ်ပြီး local access ကိုရရှိနိုင်သောအခါတွင် အခွင့်ထူးတိုးခြင်းကိုခွင့်ပြုပါသည်။
source: opennet.ru