Vor kurzem die verschiedenen Schwachstellen wurden aufgedeckt die sowohl AMD- als auch Intel-Prozessoren betreffen. Von den Fehlern, die behoben wurden Im Fall von AMD wurden 22 Schwachstellen beseitigt in die erste, zweite und dritte Generation von Serverprozessoren der AMD EPYC-Serie die den Betrieb der Technologien PSP (Platform Security Processor), SMU (System Management Unit) und SEV (Secure Encrypted Virtualization) gefährden.
Zudem seien bereits 6 Probleme im Jahr 2020 und 16 im Jahr 2021 identifiziert worden. Google-Mitarbeiter identifizierten bei internen Sicherheitsstudien elf Schwachstellen, sechs von Oracle und fünf von Microsoft.
Für OEMs wurden aktualisierte AGESA-Firmware-Kits (AMD Generic Encapsulated Software Architecture) veröffentlicht, die die Manifestation von Problemen auf alternative Weise blockieren. Hewlett Packard Enterprise, Dell, Supermicro und Lenovo haben bereits BIOS- und UEFI-Firmware-Updates für ihre Serversysteme veröffentlicht.
Bei Sicherheitsüberprüfungen in Zusammenarbeit mit Google, Microsoft und Oracle wurden potenzielle Schwachstellen im AMD Platform Security Processor (PSP), der AMD System Management Unit (SMU), der AMD Secure Encrypted Virtualization (SEV) und anderen Komponenten der Plattform entdeckt und behoben. in AMD EPYC ™ AGESA ™ PI-Paketen.
4 Sicherheitslücken werden als gefährlich eingestuft (Details sind noch nicht bekannt):
- CVE-2020-12954: Möglichkeit, die SPI-ROM-Schutzmechanismen zu umgehen, indem bestimmte interne Chipsatzeinstellungen manipuliert werden. Die Sicherheitsanfälligkeit ermöglicht es einem Angreifer, SPI-Flash zu modifizieren, um bösartigen Code oder Rootkits einzuschleusen, die für das System unsichtbar sind.
- VE-2020-12961- Eine Schwachstelle im Prozessor PSP (AMD Security Processor), die verwendet wird, um eine geschützte Sandbox auszuführen, auf die vom Hauptbetriebssystem nicht zugegriffen werden kann, ermöglicht es einem Angreifer, alle privilegierten Prozessorregister im SMN (System Management Network) zurückzusetzen und das SPI-Schutz-ROM zu umgehen.
- CVE-2021-26331- Ein Fehler in der im Prozessor integrierten SMU (System Management Unit), die verwendet wird, um Stromverbrauch, Spannung und Temperatur zu verwalten, ermöglicht es einem nicht privilegierten Benutzer, seinen Code mit erhöhten Rechten auszuführen.
- CVE-2021-26335: Eine falsche Validierung der Eingabedaten im Code-Loader für den PSP-Prozessor ermöglicht es Ihnen, vom Angreifer in der vorherigen Phase kontrollierte Werte auf die Überprüfung der digitalen Signatur anzuwenden und die Ausführung Ihres Codes auf der PSP zu erreichen.
Außerdem Auch die Beseitigung der Schwachstelle wird erwähnt (CVE-2021-26334) im Werkzeugkasten AMD μProf, geliefert für Linux und FreeBSD, und wird verwendet, um Leistung und Stromverbrauch zu analysieren. Das Problem ist im AMDPowerProfiler-Treiber vorhanden und ermöglicht einem Benutzer den Zugriff auf den MSR (Modellspezifische Registrierung), um die Ausführung Ihres Codes auf der Ebene des Nullschutzrings (Ring-0) zu organisieren. Die Schwachstelle wurde im Update amduprof-3.4-502 für Linux und AMDuProf-3.4.494 für Windows behoben.
Nun zu den behobenen Problemen bei Intel-Prozessoren, diese wurden bei der Veröffentlichung der vierteljährlichen Schwachstellenberichte in ihren Produkten bekannt, unter denen folgende Aspekte hervorstechen:
- CVE-2021-0146: ist eine Schwachstelle in den Intel Pentium-, Celeron- und Atom-Prozessoren für Desktop- und mobile Systeme, die es einem Benutzer mit physischem Zugriff auf den Computer ermöglicht, durch Aktivieren von Debugging-Modi eine Privilegieneskalation zu erreichen. Die Hardware ermöglicht bei einigen Intel-Prozessoren die Aktivierung von Test- oder Debug-Logik zur Laufzeit.
- CVE-2021-0157, CVE-2021-0158: Sicherheitslücken im mitgelieferten BIOS-Referenzcode zur Initialisierung von Intel Xeon (E / W / Scalable), Core (7/10 / 11gen), Celeron (N) und Pentium Silver Prozessoren. Die Probleme werden durch falsche Eingabevalidierung oder falsche Flusskontrolle in der BIOS-Firmware verursacht und ermöglichen eine Privilegieneskalation mit lokalem Zugriff.
Schließlich wenn Sie mehr darüber wissen möchten Über die von AMD und Intel veröffentlichten Berichte zur Behebung der gefundenen Schwachstellen können Sie die Details in den folgenden Links einsehen.