AMD දුර්වලතා මාලාවක් නිවැරදි කිරීමට කටයුතු කිරීම ගැන ""(CVE-2020-12890), එය ඔබට UEFI ස්ථිරාංග පාලනය කිරීමට සහ SMM (පද්ධති කළමනාකරණ මාදිලිය) මට්ටමින් කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි. ප්රහාරයක් සඳහා උපකරණ වෙත භෞතික ප්රවේශය හෝ පරිපාලක අයිතිවාසිකම් සහිත පද්ධතියට ප්රවේශ වීම අවශ්ය වේ. සාර්ථක ප්රහාරයකදී, ප්රහාරකයාට අතුරු මුහුණත භාවිතා කළ හැක (AMD Generic Encapsulated Software Architecture) මෙහෙයුම් පද්ධතියෙන් හෙළි කළ නොහැකි අත්තනෝමතික කේතය ක්රියාත්මක කිරීමට.
ක්රියාත්මක කර ඇති UEFI ස්ථිරාංගයේ ඇතුළත් කේතයේ දුර්වලතා පවතී (Ring -2), එය හයිපර්වයිසර් මාදිලියට සහ ආරක්ෂණ මුද්ද ශුන්යයට වඩා ඉහළ ප්රමුඛතාවයක් ඇති අතර සියලුම පද්ධති මතකයට අසීමිත ප්රවේශයක් ඇත. උදාහරණයක් ලෙස, වෙනත් දුර්වලතා හෝ සමාජ ඉංජිනේරු ක්රම උපයෝගී කර ගැනීමේ ප්රතිඵලයක් ලෙස OS වෙත ප්රවේශය ලබා ගැනීමෙන් පසුව, ප්රහාරකයෙකුට UEFI Secure Boot මඟ හැරීමට, SPI Flash වෙත පද්ධතියට නොපෙනෙන අනිෂ්ට කේතයක් හෝ රූට්කිට් එන්නත් කිරීමට සහ ප්රහාර දියත් කිරීමට SMM Callout දුර්වලතා භාවිතා කළ හැක. අතථ්ය පරිසරවල අඛණ්ඩතාව පරීක්ෂා කිරීම සඳහා යාන්ත්රණයන් මඟ හැරීම සඳහා අධිවිශේෂක මත.
0xEF SMI හසුරුවෙහි SmmGetVariable() ශ්රිතය ඇමතීමේ දී ඉලක්කගත බෆර ලිපිනය පරීක්ෂා නොකිරීම හේතුවෙන් SMM කේතයේ දෝෂයක් හේතුවෙන් අනාරක්ෂිතතා ඇති වේ. මෙම දෝෂය මඟින් ප්රහාරකයෙකුට SMM අභ්යන්තර මතකයට (SMRAM) අත්තනෝමතික දත්ත ලිවීමට සහ එය SMM වරප්රසාද සහිත කේතයක් ලෙස ධාවනය කිරීමට ඉඩ දිය හැක. මූලික දත්ත වලට අනුව, 2016 සිට 2019 දක්වා නිෂ්පාදනය කරන ලද පාරිභෝගික සහ කාවැද්දූ පද්ධති සඳහා සමහර APU (AMD Fusion) හි ගැටළුව දිස්වේ. AMD විසින් දැනටමත් බොහෝ මවුපුවරු නිෂ්පාදකයින්ට ගැටළුව නිරාකරණය කරන ස්ථිරාංග යාවත්කාලීනයක් ලබා දී ඇති අතර යාවත්කාලීනය මාසය අවසන් වන විට ඉතිරි නිෂ්පාදකයින් වෙත යැවීමට සැලසුම් කර ඇත.
මූලාශ්රය: opennet.ru