हाल ही में विभिन्न कमजोरियों का खुलासा किया गया था जो AMD और Intel दोनों प्रोसेसर को प्रभावित करता है. उन बगों में से जिन्हें ठीक किया गया था एएमडी के मामले में, 22 कमजोरियों को समाप्त कर दिया गया है की पहली, दूसरी और तीसरी पीढ़ी AMD EPYC सीरीज सर्वर प्रोसेसर जो पीएसपी (प्लेटफॉर्म सिक्योरिटी प्रोसेसर), एसएमयू (सिस्टम मैनेजमेंट यूनिट) और एसईवी (सिक्योर एनक्रिप्टेड वर्चुअलाइजेशन) प्रौद्योगिकियों के संचालन से समझौता करता है।
इसके अलावा, 6 में 2020 और 16 में 2021 समस्याओं की पहचान पहले ही की जा चुकी थी। Google कर्मचारियों ने आंतरिक सुरक्षा अध्ययन के दौरान ग्यारह कमजोरियों की पहचान की, छह ओरेकल द्वारा और पांच माइक्रोसॉफ्ट द्वारा।
OEM के लिए, अद्यतन AGESA (AMD Generic Encapsulated Software Architecture) फ़र्मवेयर किट जारी किए गए हैं, जो वैकल्पिक तरीके से समस्या प्रकटीकरण को रोकते हैं। Hewlett Packard Enterprise, Dell, Supermicro और Lenovo ने अपने सर्वर सिस्टम के लिए BIOS और UEFI फर्मवेयर अपडेट पहले ही जारी कर दिए हैं।
Google, Microsoft और Oracle के सहयोग से सुरक्षा समीक्षाओं के दौरान, AMD प्लेटफ़ॉर्म सुरक्षा प्रोसेसर (PSP), AMD सिस्टम मैनेजमेंट यूनिट (SMU), AMD सुरक्षित एन्क्रिप्टेड वर्चुअलाइज़ेशन (SEV) और प्लेटफ़ॉर्म के अन्य घटकों में संभावित कमजोरियों की खोज की गई और उन्हें कम किया गया। AMD EPYC ™ AGESA ™ PI पैकेज में।
4 कमजोरियों को खतरनाक के रूप में वर्गीकृत किया गया है (विवरण अभी तक सामने नहीं आया है):
- सीवीई-2020-12954: कुछ आंतरिक चिपसेट सेटिंग्स में हेरफेर करके SPI ROM सुरक्षा तंत्र को बायपास करने की क्षमता। भेद्यता एक हमलावर को एसपीआई फ्लैश को संशोधित करने की अनुमति देती है ताकि दुर्भावनापूर्ण कोड या रूटकिट को इंजेक्ट किया जा सके जो सिस्टम के लिए अदृश्य हैं।
- वीई-2020-12961- प्रोसेसर पीएसपी (एएमडी सिक्योरिटी प्रोसेसर) में एक भेद्यता, जिसका उपयोग मुख्य ऑपरेटिंग सिस्टम से दुर्गम संरक्षित सैंडबॉक्स को चलाने के लिए किया जाता है, एक हमलावर को एसएमएन (सिस्टम मैनेजमेंट नेटवर्क) में किसी भी विशेषाधिकार प्राप्त प्रोसेसर रजिस्टर को रीसेट करने और एसपीआई प्रोटेक्शन रोम को बायपास करने की अनुमति देता है।
- CVE-2021-26331- बिजली की खपत, वोल्टेज और तापमान को प्रबंधित करने के लिए उपयोग किए जाने वाले एसएमयू (सिस्टम मैनेजमेंट यूनिट) के प्रोसेसर में एक बग, एक अनपेक्षित उपयोगकर्ता को अपने कोड को उन्नत विशेषाधिकारों के साथ निष्पादित करने की अनुमति देता है।
- सीवीई-2021-26335: PSP प्रोसेसर के लिए कोड लोडर में इनपुट डेटा का गलत सत्यापन आपको डिजिटल हस्ताक्षर के पूर्व-सत्यापन चरण में हमलावर द्वारा नियंत्रित मूल्यों को लागू करने और PSP पर अपने कोड के निष्पादन को प्राप्त करने की अनुमति देता है।
इसके अलावा, भेद्यता के उन्मूलन का भी उल्लेख किया गया है (CVE-2021-26334) टूलकिट में AMD μProf, Linux और FreeBSD के लिए आपूर्ति की गई, और प्रदर्शन और बिजली की खपत का विश्लेषण करने के लिए उपयोग किया जाता है। यह समस्या है AMDPowerProfiler ड्राइवर में मौजूद है और उपयोगकर्ता को MSR तक पहुंच प्राप्त करने की अनुमति देता है (मॉडल-विशिष्ट पंजीकरण) शून्य सुरक्षा रिंग (रिंग-0) के स्तर पर आपके कोड के निष्पादन को व्यवस्थित करने के लिए। लिनक्स के लिए अद्यतन amduprof-3.4-502 और Windows के लिए AMDuProf-3.4.494 में भेद्यता को ठीक किया गया था।
अब उन समस्याओं के मामले में जिन्हें इंटेल प्रोसेसर में समाप्त कर दिया गया था, इन्हें उनके उत्पादों में त्रैमासिक भेद्यता रिपोर्ट के प्रकाशन के दौरान ज्ञात किया गया था, जिनमें से निम्नलिखित पहलू सामने आते हैं:
- सीवीई-2021-0146: डेस्कटॉप और मोबाइल सिस्टम के लिए इंटेल पेंटियम, सेलेरॉन और एटम प्रोसेसर में एक भेद्यता है जो उपयोगकर्ता को कंप्यूटर तक भौतिक पहुंच के साथ डिबगिंग मोड को सक्रिय करके विशेषाधिकार वृद्धि प्राप्त करने की अनुमति देता है। हार्डवेयर कुछ इंटेल प्रोसेसर के लिए रनटाइम पर परीक्षण या डिबग लॉजिक को सक्रिय करने की अनुमति देता है।
- सीवीई-2021-0157, सीवीई-2021-0158: Intel Xeon (E / W / Scalable), Core (7/10 / 11gen), Celeron (N) और पेंटियम सिल्वर प्रोसेसर को इनिशियलाइज़ करने के लिए आपूर्ति किए गए BIOS संदर्भ कोड में कमजोरियाँ। समस्या गलत इनपुट सत्यापन या BIOS फर्मवेयर में गलत प्रवाह नियंत्रण के कारण होती है और स्थानीय पहुंच के साथ विशेषाधिकार वृद्धि की अनुमति देती है।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं एएमडी और इंटेल द्वारा मिली कमजोरियों के उन्मूलन पर जारी रिपोर्ट के बारे में, आप निम्नलिखित लिंक में विवरण देख सकते हैं।