🥇 AMD र Intel प्रोसेसरहरूमा कमजोरीहरू

AMD ले PSP (प्लेटफर्म सेक्युरिटी प्रोसेसर), SMU (सिस्टम म्यानेजमेन्ट युनिट) र SEV (Secure Encrypted Virtualization) टेक्नोलोजीहरूको सञ्चालनलाई अनुमति दिँदै AMD EPYC श्रृंखला सर्भर प्रोसेसरहरूको पहिलो, दोस्रो र तेस्रो पुस्तामा 22 कमजोरीहरू हटाउने घोषणा गर्‍यो। । 6 मा 2020 समस्याहरू पहिचान गरियो, र 16 मा 2021 समस्याहरू। आन्तरिक सुरक्षा अनुसन्धानको क्रममा, गुगलका कर्मचारीहरूद्वारा 11, ओरेकलद्वारा 6 र माइक्रोसफ्टद्वारा 5 कमजोरीहरू पहिचान गरिएको थियो।

AGESA (AMD Generic Encapsulated Software Architecture) फर्मवेयरको अद्यावधिक सेटहरू OEM उपकरण निर्माताहरूको लागि जारी गरिएको छ, राउन्डअबाउट तरिकामा समस्याहरूको अभिव्यक्तिलाई रोक्दै। HP, Dell, Supermicro र Lenovo जस्ता कम्पनीहरूले पहिले नै आफ्नो सर्भर प्रणालीहरूको लागि BIOS र UEFI फर्मवेयर अद्यावधिकहरू जारी गरिसकेका छन्।

4 जोखिमहरूलाई खतरनाक रूपमा वर्गीकृत गरिएको छ (विवरणहरू अझै खुलासा गरिएको छैन):

CVE-2020-12954 - केहि आन्तरिक चिपसेट सेटिङहरूको हेरफेर मार्फत SPI ROM सुरक्षा संयन्त्रहरू बाइपास गर्ने क्षमता। कमजोरीले आक्रमणकर्तालाई प्रणालीमा अदृश्य हुने दुर्भावनापूर्ण कोड वा रूटकिटहरू परिचय गराउन SPI Flash मा परिवर्तनहरू गर्न अनुमति दिन्छ।
CVE-2020-12961 - PSP प्रोसेसर (AMD सुरक्षा प्रोसेसर) मा एक जोखिम, मुख्य OS बाट पहुँच गर्न नसकिने सुरक्षित पृथक वातावरण चलाउन प्रयोग गरिन्छ, जसले आक्रमणकर्तालाई SMN (प्रणाली व्यवस्थापन नेटवर्क) र बाइपासमा कुनै पनि विशेषाधिकार प्राप्त प्रोसेसर दर्ता रिसेट गर्न अनुमति दिन्छ। SPI रोम सुरक्षा।
CVE-2021-26331 - प्रोसेसरमा एकीकृत SMU (प्रणाली व्यवस्थापन इकाई) सबसिस्टममा त्रुटि, बिजुली खपत, भोल्टेज र तापक्रम व्यवस्थापन गर्न प्रयोग गरिन्छ, जसले विशेषाधिकार प्राप्त नगर्ने प्रयोगकर्तालाई उनीहरूको कोडलाई उच्च विशेषाधिकारहरू कार्यान्वयन गर्न अनुमति दिन्छ।
CVE-2021-26335 - PSP प्रोसेसरको लागि कोड लोडरमा गलत इनपुट डेटा प्रमाणीकरणले डिजिटल हस्ताक्षर जाँच गर्नु अघि चरणमा आक्रमणकर्ता-नियन्त्रित मानहरू प्रयोग गर्न र PSP मा तिनीहरूको कोडको कार्यान्वयन हासिल गर्न सम्भव बनाउँछ।

AMD μProf टूलकिटमा एक कमजोरी (CVE-2021-26334) को उन्मूलन, लिनक्स र FreeBSD सहित, र प्रदर्शन र पावर खपत विश्लेषणको लागि प्रयोग गरीएको छुट्याइएको छ। समस्या AMDPowerProfiler ड्राइभरमा अवस्थित छ र एक अप्रिभिलेज्ड प्रयोगकर्तालाई अनुमति दिन्छ। MSR (Model-Specific) Registers Register मा पहुँच प्राप्त गर्नको लागि शून्य सुरक्षा घण्टी (ring-0) को स्तरमा तपाईंको कोडको कार्यान्वयन व्यवस्थित गर्न। जोखिम लिनक्सको लागि amduprof-3.4-502 र Windows को लागि AMDuProf-3.4.494 मा फिक्स गरिएको छ।

यसैबीच, इंटेलले आफ्ना उत्पादनहरूमा कमजोरीहरूको बारेमा त्रैमासिक रिपोर्टहरू प्रकाशित गरेको छ, जसबाट निम्न समस्याहरू खडा छन्:

CVE-2021-0146 मोबाइल र डेस्कटप प्रणालीहरूको लागि Intel Pentium, Celeron र Atom प्रोसेसरहरूमा एउटा जोखिम हो जसले उपकरणहरूमा भौतिक पहुँच भएका प्रयोगकर्ताहरूलाई डिबग मोडहरू सक्रिय गरेर विशेषाधिकार वृद्धि हासिल गर्न अनुमति दिन्छ।
CVE-2021-0157, CVE-2021-0158 Intel Xeon (E/W/Scalable), Core (7/10/11gen), Celeron (N) र Pentium सिल्वर प्रोसेसरहरू प्रारम्भ गर्न प्रदान गरिएको BIOS सन्दर्भ कोडमा कमजोरीहरू हुन्। समस्याहरू गलत इनपुट प्रमाणीकरण वा BIOS फर्मवेयरमा गलत प्रवाह नियन्त्रणको कारणले गर्दा हुन्छन् र स्थानीय पहुँच उपलब्ध हुँदा विशेषाधिकार वृद्धिलाई अनुमति दिन्छ।

स्रोत: opennet.ru

AMD र Intel प्रोसेसरहरूमा कमजोरीहरू

एक टिप्पणी थप्न Отменить ответ