AMD разкри в последната си януарска актуализация, че са открити тридесет и една нови уязвимости в нейните процесори, включително Ryzen и EPYC.
Компанията е създала множество смекчаващи мерки, за да облекчи изложените на опасност процесори, и също така разкрива доклад, изготвен в сътрудничество с екипи от три водещи компании - Apple, Google и Oracle. AMD обяви и няколко варианта на AGESA, изброени в актуализацията (кодът на AGESA се намира при изграждането на BIOS и UEFI кода на системата).
Поради естеството на уязвимостта промените на AGESA са доставени на OEM производителите и всяка корекция ще зависи от това всеки доставчик да я пусне възможно най-скоро. Би било разумно за потребителите да посетят официалния уебсайт на съответните доставчици, за да разберат дали има нова актуализация, чакаща за изтегляне, вместо да чакат компанията да я пусне по-късно.
Процесорите на AMD, уязвими на тази нова атака, включват моделите Ryzen за настолни компютри, HEDT, Pro и мобилни процесори. Има една единствена уязвимост, обозначена като „висока степен на сериозност“, докато други две са по-малко екстремни, но все пак важни за коригиране. Всички експозиции се атакуват чрез BIOS и ASP буутлоудър (известен също като AMD Secure Processor bootloader).
Сериите CPU на AMD, които са уязвими, са:
Ryzen 2000 (Pinnacle Ridge) series processors
Ryzen 2000 APUs
Ryzen 5000 APUs
AMD Threadripper 2000 HEDT and Pro server processor series
AMD Threadripper 3000 HEDT and Pro server processor series
Ryzen 2000 series mobile processors
Ryzen 3000 series mobile processors
Ryzen 5000 series mobile processors
Ryzen 6000 series mobile processors
Athlon 3000 series mobile processors
Общо двадесет и осем уязвимости на AMD са открити, засягащи процесори EPYC, като четири модела са обозначени с „висока сериозност“ от компанията. Трите с висока степен на тежест могат да имат произволен код, който може да бъде изпълнен чрез вектори на атака в много области. Освен това една от трите изброени има допълнителен експлойт, който позволява запис на данни в определени секции, което води до загуба на данни. Други изследователски екипи откриха още петнадесет уязвимости с по-ниска сериозност и девет с малка сериозност.
Поради големия брой използвани засегнати процесори компанията избра да разкрие този скорошен списък с уязвимости, който обикновено се публикува през май и ноември всяка година, и да се увери, че съответните мерки са подготвени за пускане. Други уязвимости в продуктите на AMD включват вариант на Hertzbleed, друг, който действа подобно на експлойта Meltdown, и един, наречен Take A Way.
Снимка: Unsplash
Виж още: Intel пусна най-бързия геймърски процесор, но дали наистина ви трябва?