अलीकडे विविध असुरक्षा उघड झाल्या जे एएमडी आणि इंटेल दोन्ही प्रोसेसरवर परिणाम करतात. दुरुस्त केलेल्या दोषांपैकी AMD च्या बाबतीत, 22 असुरक्षा दूर केल्या गेल्या आहेत ची पहिली, दुसरी आणि तिसरी पिढी AMD EPYC मालिका सर्व्हर प्रोसेसर जे PSP (प्लॅटफॉर्म सिक्युरिटी प्रोसेसर), SMU (सिस्टम मॅनेजमेंट युनिट) आणि SEV (सुरक्षित एनक्रिप्टेड व्हर्च्युअलायझेशन) तंत्रज्ञानाच्या ऑपरेशनशी तडजोड करतात.
याव्यतिरिक्त, 6 मध्ये 2020 आणि 16 मध्ये 2021 समस्या आधीच ओळखल्या गेल्या होत्या. Google कर्मचार्यांनी अंतर्गत सुरक्षा अभ्यासादरम्यान अकरा असुरक्षा ओळखल्या, सहा ओरॅकलने आणि पाच मायक्रोसॉफ्टने.
OEM साठी, अद्ययावत AGESA (AMD जेनेरिक एन्कॅप्स्युलेटेड सॉफ्टवेअर आर्किटेक्चर) फर्मवेअर किट जारी केले गेले आहेत, पर्यायी मार्गाने समस्या प्रकटीकरण अवरोधित करतात. Hewlett Packard Enterprise, Dell, Supermicro आणि Lenovo ने त्यांच्या सर्व्हर सिस्टमसाठी आधीच BIOS आणि UEFI फर्मवेअर अपडेट्स जारी केले आहेत.
Google, Microsoft आणि Oracle च्या सहकार्याने सुरक्षा पुनरावलोकनांदरम्यान, AMD प्लॅटफॉर्म सिक्युरिटी प्रोसेसर (PSP), AMD सिस्टम मॅनेजमेंट युनिट (SMU), AMD सिक्योर एन्क्रिप्टेड व्हर्च्युअलायझेशन (SEV) आणि प्लॅटफॉर्मच्या इतर घटकांमध्ये संभाव्य भेद्यता शोधल्या गेल्या आणि कमी केल्या गेल्या. AMD EPYC™ AGESA™ PI पॅकेजेसमध्ये.
4 असुरक्षा धोकादायक म्हणून वर्गीकृत आहेत (तपशील अद्याप उघड झाले नाही):
- सीव्हीई -2020-12954: विशिष्ट अंतर्गत चिपसेट सेटिंग्ज हाताळून SPI ROM संरक्षण यंत्रणा बायपास करण्याची क्षमता. भेद्यता आक्रमणकर्त्याला दुर्भावनापूर्ण कोड किंवा सिस्टमला अदृश्य असलेल्या रूटकिट्स इंजेक्ट करण्यासाठी SPI फ्लॅशमध्ये बदल करण्यास अनुमती देते.
- CVE-2020-12961- प्रोसेसर PSP (AMD सिक्युरिटी प्रोसेसर) मधील असुरक्षा, जो मुख्य ऑपरेटिंग सिस्टीममधून अॅक्सेसेबल संरक्षित सँडबॉक्स चालविण्यासाठी वापरला जातो, आक्रमणकर्त्याला SMN (सिस्टम मॅनेजमेंट नेटवर्क) मधील कोणतीही विशेषाधिकार प्राप्त प्रोसेसर नोंदणी रीसेट करण्यास आणि SPI संरक्षण रॉमला बायपास करण्यास अनुमती देते.
- सीव्हीई- 2021-26331- प्रोसेसर बिल्ट-इन SMU (सिस्टम मॅनेजमेंट युनिट) मध्ये एक बग, जो वीज वापर, व्होल्टेज आणि तापमान व्यवस्थापित करण्यासाठी वापरला जातो, जो विशेषाधिकार नसलेल्या वापरकर्त्याला त्यांचा कोड उन्नत विशेषाधिकारांसह कार्यान्वित करू देतो.
- सीव्हीई -2021-26335: PSP प्रोसेसरसाठी कोड लोडरमधील इनपुट डेटाचे चुकीचे प्रमाणीकरण आपल्याला डिजिटल स्वाक्षरीच्या पडताळणीसाठी मागील टप्प्यात आक्रमणकर्त्याद्वारे नियंत्रित मूल्ये लागू करण्यास आणि PSP वर आपल्या कोडची अंमलबजावणी साध्य करण्यास अनुमती देते.
दुसरीकडे, असुरक्षिततेचे उच्चाटन देखील नमूद केले आहे (CVE-2021-26334) टूलकिटमध्ये AMD μProf, Linux आणि FreeBSD साठी पुरवलेले, आणि कार्यप्रदर्शन आणि वीज वापराचे विश्लेषण करण्यासाठी वापरले जाते. समस्या आहे AMDPowerProfiler ड्राइव्हरमध्ये उपस्थित आहे आणि वापरकर्त्याला MSR मध्ये प्रवेश मिळवण्याची परवानगी देतो (मॉडेल-विशिष्ट नोंदणी) शून्य संरक्षण रिंग (रिंग-0) च्या स्तरावर आपल्या कोडची अंमलबजावणी आयोजित करण्यासाठी. Linux साठी amduprof-3.4-502 आणि Windows साठी AMDuProf-3.4.494 अपडेटमध्ये भेद्यता निश्चित केली गेली.
आता इंटेल प्रोसेसरमध्ये दूर झालेल्या समस्यांच्या बाबतीत, त्यांच्या उत्पादनांमधील त्रैमासिक असुरक्षा अहवालांच्या प्रकाशनाच्या वेळी हे ज्ञात केले गेले होते, ज्यामध्ये खालील पैलू वेगळे आहेत:
- सीव्हीई -2021-0146: डेस्कटॉप आणि मोबाइल सिस्टमसाठी इंटेल पेंटियम, सेलेरॉन आणि अॅटम प्रोसेसरमधील एक असुरक्षितता आहे जी संगणकावर भौतिक प्रवेश असलेल्या वापरकर्त्यास डीबगिंग मोड सक्रिय करून विशेषाधिकार वाढवण्याची परवानगी देते. हार्डवेअर काही इंटेल प्रोसेसरसाठी रनटाइमवर चाचणी किंवा डीबग लॉजिक सक्रिय करण्यास अनुमती देते.
- CVE-2021-0157, CVE-2021-0158: Intel Xeon (E/W/Scalable), Core (7/10/11gen), Celeron (N) आणि Pentium Silver प्रोसेसर सुरू करण्यासाठी पुरवलेल्या BIOS संदर्भ कोडमधील भेद्यता. BIOS फर्मवेअरमधील चुकीचे इनपुट प्रमाणीकरण किंवा चुकीच्या प्रवाह नियंत्रणामुळे समस्या उद्भवतात आणि स्थानिक प्रवेशासह विशेषाधिकार वाढवण्याची परवानगी देतात.
शेवटी, आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास AMD आणि Intel द्वारे आढळलेल्या भेद्यता दूर करण्याबद्दल जारी केलेल्या अहवालांबद्दल, तुम्ही खालील लिंक्समधील तपशीलांचा सल्ला घेऊ शकता.