AMD segnala quattro vulnerabilità di sicurezza: processori interessati e AGESA risolutivi

AMD segnala quattro vulnerabilità di sicurezza: processori interessati e AGESA risolutivi

AMD ha pubblicato un bollettino di sicurezza relativo a quattro "potenziali" vulnerabilità di sicurezza che interessa tutte le sue famiglie di prodotti: EPYC, Ryzen e Threadripper. Benché con grado di pericolosità elevato, le falle richiedono accesso fisico al sistema per essere sfruttate.

di pubblicata il , alle 09:01 nel canale Schede Madri e chipset
ThreadripperRyzenZenEPYCAMD
 

AMD ha pubblicato un bollettino di sicurezza in cui illustra quattro "potenziali" vulnerabilità di sicurezza rintracciate nei propri prodotti da Enrique Nissim, Krzysztof Okupski e Joseph Tartaro di IOActive e come intende affrontarle.

"AMD ritiene che alcuni dei risultati siano stati ottenuti su PC con firmware o software obsoleti", puntualizza l'azienda prima di entrare nel dettaglio. Le quattro falle di sicurezza hanno tutte un grado "High" e rispondono ai seguenti CVE (Common Vulnerabilities and Exposures):

  • CVE-2023-20576
  • CVE-2023-20577          
  • CVE-2023-20579          
  • CVE-2023-20587

Come si può leggere nelle descrizioni, al centro di tutto c'è SPI (Serial Peripheral Interface), quell'interfaccia si connette al chip flash sulla scheda madre in cui è stoccato il firmware del sistema. Le falle permettono a malintenzionati di eseguire codice arbitrario, scalare privilegi e altro ancora.

La buona notizia è serve avere accesso locale al sistema interessato per sfruttare queste falle. Nel bollettino di sicurezza sono disponibili tabelle dettagliate con la versione di AGESA che mitiga le vulnerabilità. L'AGESA è il codice di base su cui i produttori di schede madri realizzano i BIOS: se vi recate nella pagina dedicata alla vostra motherboard sul sito dell'OEM, troverete nella pagina di supporto l'elenco degli ultimi BIOS con indicato l'AGESA su cui è basato.

La disponibilità dell'AGESA non equivale alla presenza automatica di un nuovo BIOS, i produttori hanno tempi e modi di rilascio differenti, quindi qualora non trovaste un firmware basato sull'AGESA indicato da AMD, è solo una questione di tempo. Nelle tabelle di AMD sono indicati i giorni di distribuzione degli AGESA per i vari chip, in alcuni casi l'AGESA risolutivo è ancora in fase di ultimazione, mentre nella maggior parte è già disponibile: se siete soliti mantenere il firmware aggiornato, probabilmente siete già al sicuro.

Quanto alle CPU coinvolte, le problematiche colpiscono, in modo diverso, varie generazioni di CPU basate sulle molteplici iterazioni dell'architettura Zen. Nel caso dei processori EPYC risultano interessate tutte e quattro le generazioni (Naples, Rome, Milan e Genoa). I processori Bergamo con core Zen 4c non sono citati. Per quanto riguarda i processori Ryzen, AMD segnala i modelli delle serie 3000, 5000 e 7000. Nell'elenco si trovano anche i Ryzen Threadripper serie 3000 e 5000, ma non gli ultimi della famiglia 7000.

Anche i processori Ryzen per notebook delle serie 3000, 4000, 5000, 6000 e 7000 sono affetti da almeno tre delle quattro falle. Infine, vengono citati anche i modelli embedded delle famiglie EPYC e Ryzen (serie 3000, 7000 e 9000).

Nella pagina generale di AMD sui bollettini di sicurezza rilasciati vediamo che la società ha pubblicato altre comunicazioni negli ultimi giorni, legate tuttavia ai soli settori embedded e server, oltre agli FPGA della famiglia Ultrascale.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6915 Febbraio 2024, 11:25 #1
Esistono ancora i test per vedere quanto le performance vengono inficiate dopo questi aggiornamenti di sicurezza alle CPU recenti?
LMCH15 Febbraio 2024, 13:24 #2
Originariamente inviato da: giovanni69
Esistono ancora i test per vedere quanto le performance vengono inficiate dopo questi aggiornamenti di sicurezza alle CPU recenti?

In questo caso le prestazioni rimangono invariate, è una vulnerabilità a livello di scrittura della memoria flash dove è memorizzato firmware UEFi e/o bios.
Totix9215 Febbraio 2024, 21:58 #3
Sembra che sui Ryzen serie 3000 e 5000 queste falle sono già risolte dall'Agesa 1.2.0B rilasciato ormai alcuni mesi fa.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^