В процессорах AMD и Intel обнаружены уязвимости.

Недавно были обнаружены различные уязвимости которые влияют как на процессоры AMD, так и на Intel. Из исправленных ошибок В случае с AMD 22 уязвимости были устранены в первое, второе и третье поколение Серверные процессоры серии AMD EPYC которые ставят под угрозу работу технологий PSP (Platform Security Processor), SMU (System Management Unit) и SEV (Secure Encrypted Virtualization).

Кроме того, в 6 году уже было выявлено 2020 проблем, а в 16 году - 2021. В ходе исследований внутренней безопасности сотрудники Google выявили одиннадцать уязвимостей, шесть - Oracle и пять - Microsoft.

Для OEM-производителей выпущены обновленные комплекты микропрограмм AGESA (Generic Encapsulated Software Architecture), которые блокируют проявление проблемы альтернативным способом. Hewlett Packard Enterprise, Dell, Supermicro и Lenovo уже выпустили обновления прошивки BIOS и UEFI для своих серверных систем.

В ходе проверок безопасности в сотрудничестве с Google, Microsoft и Oracle потенциальные уязвимости были обнаружены и устранены в процессоре безопасности платформы AMD (PSP), блоке управления системой AMD (SMU), защищенной шифрованной виртуализации AMD (SEV) и других компонентах платформы. в пакетах AMD EPYC ™ AGESA ™ PI.

4 уязвимости классифицируются как опасные (подробности пока не разглашаются):

  • CVE-2020-12954: Возможность обхода механизмов защиты SPI ROM путем изменения определенных внутренних настроек набора микросхем. Уязвимость позволяет злоумышленнику модифицировать SPI Flash для внедрения вредоносного кода или руткитов, невидимых для системы.
  • CVE-2020-12961- Уязвимость в процессоре PSP (AMD Security Processor), который используется для запуска защищенной песочницы, недоступной из основной операционной системы, позволяет злоумышленнику сбросить любые регистры привилегированного процессора в SMN (System Management Network) и обойти SPI Protection ROM.
  • CVE-2021-26331- Ошибка во встроенном в процессор SMU (System Management Unit), используемом для управления энергопотреблением, напряжением и температурой, позволяет непривилегированным пользователям выполнять свой код с повышенными привилегиями.
  • CVE-2021-26335: Неправильная проверка входных данных в загрузчике кода для процессора PSP позволяет применить значения, контролируемые злоумышленником на предыдущем этапе, для проверки цифровой подписи и добиться выполнения вашего кода на PSP.

Кроме того, также упоминается устранение уязвимости (CVE-2021-26334) в инструментарии AMD μProf, поставляется для Linux и FreeBSD, и используется для анализа производительности и энергопотребления. Проблема в присутствует в драйвере AMDPowerProfiler и позволяет пользователю получить доступ к MSR (Регистрация в зависимости от модели) для организации выполнения вашего кода на уровне кольца нулевой защиты (кольцо-0). Уязвимость исправлена ​​в обновлениях amduprof-3.4-502 для Linux и AMDuProf-3.4.494 для Windows.

Теперь о проблемах, которые были устранены в процессорах Intel, стало известно во время публикации ежеквартальных отчетов об уязвимостях в их продуктах, среди которых выделяются следующие аспекты:

  • CVE-2021-0146: - это уязвимость в процессорах Intel Pentium, Celeron и Atom для настольных и мобильных систем, которая позволяет пользователю, имеющему физический доступ к компьютеру, повысить привилегии путем активации режимов отладки. Аппаратное обеспечение позволяет активировать логику тестирования или отладки во время выполнения для некоторых процессоров Intel.
  • CVE-2021-0157, CVE-2021-0158: уязвимости в эталонном коде BIOS для инициализации процессоров Intel Xeon (E / W / Scalable), Core (7/10 / 11gen), Celeron (N) и Pentium Silver. Проблемы вызваны неправильной проверкой ввода или неправильным управлением потоком в прошивке BIOS и позволяют повысить привилегии с локальным доступом.

Наконец, если вам интересно узнать об этом больше Об отчетах AMD и Intel об устранении обнаруженных уязвимостей вы можете ознакомиться с подробностями по следующим ссылкам.

https://www.amd.com

https://www.intel.com


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.