Scovata una falla nell'AGESA di AMD, interessa le APU dal 2016 al 2019

Scovata una falla nell'AGESA di AMD, interessa le APU dal 2016 al 2019

Un ricercatore di sicurezza ha identificato una vulnerabilità nell'AGESA di AMD, la base dei BIOS delle motherboard. "SMM Callout Privilege Escalation", questo il nome della falla, non è però facilmente sfruttabile e sarà mitigata su tutte le piattaforme interessate entro fine mese.

di pubblicata il , alle 16:01 nel canale Sicurezza
AMD
 

AMD ha reso noto di essere a conoscenza di una nuova ricerca di sicurezza in cui si evidenzia una "potenziale vulnerabilità" nel software AGESA (AMD Generic Encapsulated Software Architecture), ovvero il codice che l'azienda statunitense mette a disposizione dei produttori di schede madre per l'integrazione nella loro infrastruttura UEFI (Unified Extensible Firmware Interface).

La problematica, chiamata "SMM Callout Privilege Escalation" e identificata dal codice CVE-2020-12890, è stata scoperta dal ricercatore di sicurezza Danny Odler (qui un suo post su Medium). AMD tranquillizza tutti, entro la fine di giugno si completerà la distribuzione di AGESA aggiornati con misure per mitigare il problema.

L'attacco descritto richiede accesso fisico o privilegi amministrativi, inoltre impatta secondo l'azienda "solo su determinate APU client ed embedded" rese disponibili sul mercato tra il 2016 e il 2019. Tali APU trovano posto in notebook e altri sistemi per l'industria, pensiamo ad esempio piattaforme per slot machine o simili.

L'azienda spiega che qualora un malintenzionato ottenesse il livello di accesso richiesto, potrebbe "manipolare l'AGESA per eseguire codice arbitrario non rilevato dal sistema operativo". Il consiglio di AMD è quello di sempre: "seguire le migliori pratiche di sicurezza per mantenere aggiornati i dispositivi con le ultime patch", il che non significa solo il sistema operativo ma anche il BIOS. Controllate perciò i siti dei produttori della vostra motherboard periodicamente per verificare la presenza di nuovi firmware.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
nickname8818 Giugno 2020, 16:26 #1
Colgano l'occasione per imporre ai produttori di correggere la lettura dell'assorbimento energetico e incentivare tutti a rinnovare i bios.
TRF8318 Giugno 2020, 17:11 #2
Originariamente inviato da: nickname88
Colgano l'occasione per imporre ai produttori di correggere la lettura dell'assorbimento energetico e incentivare tutti a rinnovare i bios.


Mah, sinceramente anche AMD stessa ha dichiarato che sia l'impatto sulla longevità che quello sulle prestazioni è ridotto ad un nonnulla, di fatto, quindi non ha neanche senso investire soldi in questo.
Poi, se hai una mobo che ti fa andare (molto poco) di più la CPU senza fare danni e con fatica zero, di che ti lamenti?
CrapaDiLegno18 Giugno 2020, 17:56 #3
Che se fosse ininfluente AMD stessa avrebbe scelto quei parametri come default.
Invece ha rilasciato un BIOS che metteva le tensioni al minimo sotto le capacità di boost massimo. Per poi ritornare indietro accortasi che così bassa la tensione non poteva metterla pena non adempiere alle dichiarazioni ufficiali.
E visto i precedenti di AMD con l'abbondanza delle tensioni per avere tutte le prestazioni possibile a scapito di consumi, con questa mossa qualche allarme in me suona.

Nessuno di noi sa di preciso quanto durevole sono questi 7nm. Lo scopriremo tra qualche annetto.
Ma di là lo sanno di sicuro e certe manovre sono da tenere sotto osservazione.
giuvahhh18 Giugno 2020, 19:24 #4
mi è bastato leggere nelle varie recensioni che in idle amd consuma più di intel e sapendo che il pc normalmente passa molto tempo in idle, basta farsi un po di conti
nickname8818 Giugno 2020, 20:52 #5
Originariamente inviato da: TRF83
Mah, sinceramente anche AMD stessa ha dichiarato che sia l'impatto sulla longevità che quello sulle prestazioni è ridotto ad un nonnulla, di fatto, quindi non ha neanche senso investire soldi in questo.
Poi, se hai una mobo che ti fa andare (molto poco) di più la CPU senza fare danni e con fatica zero, di che ti lamenti?
Non c'è in ballo alcun soldo da investire, sono i produttori delle MOBO che alterano i parametri.

Si tratta semplicemente, visto che devono tirare fuori nuovi bios comunque per via di questa falla, di approfittare della cosa e imporgli anche di rimettersi in riga. Insomma già che ci sono ..... tanto vale approfittare.

Originariamente inviato da: giuvahhh
mi è bastato leggere nelle varie recensioni che in idle amd consuma più di intel e sapendo che il pc normalmente passa molto tempo in idle, basta farsi un po di conti
Che passa molto tempo in idle non sta scritto da nessuna parte, io in idle ce lo tengo pochissimo, in pratica nel primo minuto dopo l'accensione e negli istanti prima di spegnerlo. Se devo fare attività di poco conto uso il notebook o il mulo.
S1©kßø¥19 Giugno 2020, 00:59 #6
Originariamente inviato da: giuvahhh
mi è bastato leggere nelle varie recensioni che in idle amd consuma più di intel e sapendo che il pc normalmente passa molto tempo in idle, basta farsi un po di conti


Che conti ti sei fatto? Che con un AMD tenendo tutto l'anno il PC in idle spenderai 10 paperdollari l'anno invece che 8?
Credo che riparando la palandrana invece che comprandone una nuova avrai tamponato il danno.
lucusta19 Giugno 2020, 08:44 #7
Originariamente inviato da: giuvahhh
mi è bastato leggere nelle varie recensioni che in idle amd consuma più di intel e sapendo che il pc normalmente passa molto tempo in idle, basta farsi un po di conti


quindi per te i 20W in meno in idle compensano gli 80-100W in più in full load tra un 9900K ed un ryzen 3700x o 3800x?
ti farei un'applicazione giusto per farti vedere quando e quanto un PC sta in C6 State (ossia quando viene misurato l'idle), così vedi che, anche tenendo il PC acceso per 12 ore al giorno, quel consumo in meno è praticamente nullo nella realtà.

questa è un'altra mancanza dei test fatti dalle varie review: dare valori numerici senza un minimo di critica per spiegarli alla massa.
e sì che basterebbe dare il consumo di un PC in una sessione di un'oretta d'uso comune... sui portatili misurano l'intera durata della batteria, ma sui PC non riescono a fare un'oretta di script che consente di mediare l'uso comune e quindi fornire una stima che possa essere apprezzata dalla comune gente.

Corsini, questa è un'altra mancanza sui test; segnalo.
TRF8323 Giugno 2020, 16:51 #8
Originariamente inviato da: nickname88
Non c'è in ballo alcun soldo da investire, sono i produttori delle MOBO che alterano i parametri.

Si tratta semplicemente, visto che devono tirare fuori nuovi bios comunque per via di questa falla, di approfittare della cosa e imporgli anche di rimettersi in riga. Insomma già che ci sono ..... tanto vale approfittare.


Occupare tempo per fare qualcosa (in questo caso correggere il BIOS per quanto riguarda le tensioni (ammettendo che si possa sistemare tutto giocando solo con le tensioni e che non ci sia anche qualche bega HW)) significa investire soldi.

Non so tu, ma io non lavoro gratis

Sul discorso che veniva fatto "questi 7nm sapremo solo in futuro quanto dureranno", è vero, ma è sempre stato così eppure abbiamo sempre avuto CO medio pesanti senza troppi problemi. Ho tenuto 11 anni un i7-930 a 4.0GHz (nasceva a 2.8) con UCLK a 4000 per sfruttare le DDR3 a 2000MHz e tensioni QPI/Vtt mediamente alte, che in media sarà stato acceso 5 giorni a settimana di cui 3 in full load o poco meno ed ora lo sta usando la mia ragazza senza il benché minimo problema.
Avrà perso qualcosa di performance sicuro, per via dell'invecchiamento del silicio, ecc ecc, ma nulla di realmente misurabile ad occhio.

E difficilmente teniamo i pc così tanti anni.

Quindi sì, continuo a pensare che ci si stia lamentando del nulla.
(per altro, ho un Ryzen e non vedo tensioni fuori specifica, sinceramente)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^