AMD segnala quattro vulnerabilità di sicurezza: processori interessati e AGESA risolutivi

AMD ha pubblicato un bollettino di sicurezza in cui illustra quattro "potenziali" vulnerabilità di sicurezza rintracciate nei propri prodotti da Enrique Nissim, Krzysztof Okupski e Joseph Tartaro di IOActive e come intende affrontarle.

"AMD ritiene che alcuni dei risultati siano stati ottenuti su PC con firmware o software obsoleti", puntualizza l'azienda prima di entrare nel dettaglio. Le quattro falle di sicurezza hanno tutte un grado "High" e rispondono ai seguenti CVE (Common Vulnerabilities and Exposures):

• CVE-2023-20576
• CVE-2023-20577          
• CVE-2023-20579          
• CVE-2023-20587

Come si può leggere nelle descrizioni, al centro di tutto c'è SPI (Serial Peripheral Interface), quell'interfaccia si connette al chip flash sulla scheda madre in cui è stoccato il firmware del sistema. Le falle permettono a malintenzionati di eseguire codice arbitrario, scalare privilegi e altro ancora.

La buona notizia è serve avere accesso locale al sistema interessato per sfruttare queste falle. Nel bollettino di sicurezza sono disponibili tabelle dettagliate con la versione di AGESA che mitiga le vulnerabilità. L'AGESA è il codice di base su cui i produttori di schede madri realizzano i BIOS: se vi recate nella pagina dedicata alla vostra motherboard sul sito dell'OEM, troverete nella pagina di supporto l'elenco degli ultimi BIOS con indicato l'AGESA su cui è basato.

La disponibilità dell'AGESA non equivale alla presenza automatica di un nuovo BIOS, i produttori hanno tempi e modi di rilascio differenti, quindi qualora non trovaste un firmware basato sull'AGESA indicato da AMD, è solo una questione di tempo. Nelle tabelle di AMD sono indicati i giorni di distribuzione degli AGESA per i vari chip, in alcuni casi l'AGESA risolutivo è ancora in fase di ultimazione, mentre nella maggior parte è già disponibile: se siete soliti mantenere il firmware aggiornato, probabilmente siete già al sicuro.

Quanto alle CPU coinvolte, le problematiche colpiscono, in modo diverso, varie generazioni di CPU basate sulle molteplici iterazioni dell'architettura Zen. Nel caso dei processori EPYC risultano interessate tutte e quattro le generazioni (Naples, Rome, Milan e Genoa). I processori Bergamo con core Zen 4c non sono citati. Per quanto riguarda i processori Ryzen, AMD segnala i modelli delle serie 3000, 5000 e 7000. Nell'elenco si trovano anche i Ryzen Threadripper serie 3000 e 5000, ma non gli ultimi della famiglia 7000.

Anche i processori Ryzen per notebook delle serie 3000, 4000, 5000, 6000 e 7000 sono affetti da almeno tre delle quattro falle. Infine, vengono citati anche i modelli embedded delle famiglie EPYC e Ryzen (serie 3000, 7000 e 9000).

Nella pagina generale di AMD sui bollettini di sicurezza rilasciati vediamo che la società ha pubblicato altre comunicazioni negli ultimi giorni, legate tuttavia ai soli settori embedded e server, oltre agli FPGA della famiglia Ultrascale.