Baru-baru ini pelbagai kelemahan telah didedahkan yang menjejaskan kedua-dua pemproses AMD dan Intel. Daripada pepijat yang telah diperbetulkan Dalam kes AMD, 22 kelemahan telah dihapuskan dalam generasi pertama, kedua dan ketiga Pemproses pelayan siri AMD EPYC yang menjejaskan pengendalian teknologi PSP (Pemproses Keselamatan Platform), SMU (Unit Pengurusan Sistem) dan SEV (Maya Disulitkan Selamat).
Selain itu, 6 masalah telah dikenal pasti pada tahun 2020 dan 16 pada tahun 2021. Kakitangan Google mengenal pasti sebelas kelemahan semasa kajian keselamatan dalaman, enam oleh Oracle dan lima oleh Microsoft.
Untuk OEM, kit perisian tegar AGESA (AMD Generic Encapsulated Software Architecture) yang dikemas kini telah dikeluarkan, menyekat manifestasi masalah dengan cara alternatif. Hewlett Packard Enterprise, Dell, Supermicro dan Lenovo telah mengeluarkan kemas kini perisian tegar BIOS dan UEFI untuk sistem pelayan mereka.
Semasa semakan keselamatan dengan kerjasama Google, Microsoft dan Oracle, potensi kelemahan telah ditemui dan dikurangkan dalam Pemproses Keselamatan Platform AMD (PSP), Unit Pengurusan Sistem AMD (SMU), Virtualisasi Disulitkan AMD Secure (SEV) dan komponen lain platform. dalam pakej AMD EPYC ™ AGESA ™ PI.
4 kelemahan diklasifikasikan sebagai berbahaya (perincian belum didedahkan lagi):
- CVE-2020-12954: keupayaan untuk memintas mekanisme perlindungan ROM SPI dengan memanipulasi tetapan set cip dalaman tertentu. Kerentanan membolehkan penyerang mengubah suai SPI Flash untuk menyuntik kod hasad atau rootkit yang tidak kelihatan kepada sistem.
- SVE-2020-12961- Kerentanan dalam pemproses PSP (Pemproses Keselamatan AMD), yang digunakan untuk menjalankan kotak pasir yang dilindungi tidak boleh diakses daripada sistem pengendalian utama, membolehkan penyerang menetapkan semula mana-mana daftar pemproses istimewa dalam SMN (Rangkaian Pengurusan Sistem) dan memintas SPI Protection ROM.
- CVE-2021 26331-- Pepijat dalam pemproses terbina dalam SMU (Unit Pengurusan Sistem), yang digunakan untuk mengurus penggunaan kuasa, voltan dan suhu, membolehkan pengguna yang tidak mempunyai hak untuk melaksanakan kod mereka dengan keistimewaan yang tinggi.
- CVE-2021-26335: Pengesahan data input yang salah dalam pemuat kod untuk pemproses PSP membolehkan anda menggunakan nilai yang dikawal oleh penyerang dalam peringkat pra-pengesahan tandatangan digital dan mencapai pelaksanaan kod anda pada PSP.
Selain itu, penghapusan kelemahan juga disebut (CVE-2021-26334) dalam kit alat AMD μProf, dibekalkan untuk Linux dan FreeBSD, dan digunakan untuk menganalisis prestasi dan penggunaan kuasa. Masalahnya ialah hadir dalam pemacu AMDPowerProfiler dan membolehkan pengguna mendapat akses kepada MSR (Pendaftaran khusus model) untuk mengatur pelaksanaan kod anda pada tahap cincin perlindungan sifar (ring-0). Kerentanan telah diperbaiki dalam kemas kini amduprof-3.4-502 untuk Linux dan AMDuProf-3.4.494 untuk Windows.
Sekarang dalam kes masalah yang telah dihapuskan dalam pemproses Intel, ini telah dimaklumkan semasa penerbitan laporan kelemahan suku tahunan dalam produk mereka, antaranya aspek berikut menonjol:
- CVE-2021-0146: ialah kelemahan dalam pemproses Intel Pentium, Celeron dan Atom untuk sistem desktop dan mudah alih yang membolehkan pengguna dengan akses fizikal ke komputer mencapai peningkatan keistimewaan dengan mengaktifkan mod nyahpepijat. Perkakasan membenarkan pengaktifan logik ujian atau nyahpepijat pada masa jalan untuk sesetengah pemproses Intel.
- CVE-2021-0157, CVE-2021-0158: kelemahan dalam kod rujukan BIOS yang dibekalkan untuk memulakan pemproses Intel Xeon (E / W / Scalable), Core (7/10 / 11gen), Celeron (N) dan Pentium Silver. Masalahnya disebabkan oleh pengesahan input yang salah atau kawalan aliran yang salah dalam perisian tegar BIOS dan membenarkan peningkatan keistimewaan dengan akses setempat.
Akhirnya, sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya Mengenai laporan yang dikeluarkan oleh AMD dan Intel mengenai penghapusan kelemahan yang ditemui, anda boleh merujuk butiran dalam pautan berikut.