В процессорах AMD и Intel обнаружены уязвимости.

Недавно были обнаружены различные уязвимости которые влияют как на процессоры AMD, так и на Intel. Из исправленных ошибок В случае с AMD 22 уязвимости были устранены в первое, второе и третье поколение Серверные процессоры серии AMD EPYC которые ставят под угрозу работу технологий PSP (Platform Security Processor), SMU (System Management Unit) и SEV (Secure Encrypted Virtualization).

Кроме того, в 6 году уже было выявлено 2020 проблем, а в 16 году - 2021. В ходе исследований внутренней безопасности сотрудники Google выявили одиннадцать уязвимостей, шесть - Oracle и пять - Microsoft.

Для OEM-производителей выпущены обновленные комплекты микропрограмм AGESA (Generic Encapsulated Software Architecture), которые блокируют проявление проблемы альтернативным способом. Hewlett Packard Enterprise, Dell, Supermicro и Lenovo уже выпустили обновления прошивки BIOS и UEFI для своих серверных систем.

В ходе проверок безопасности в сотрудничестве с Google, Microsoft и Oracle потенциальные уязвимости были обнаружены и устранены в процессоре безопасности платформы AMD (PSP), блоке управления системой AMD (SMU), защищенной шифрованной виртуализации AMD (SEV) и других компонентах платформы. в пакетах AMD EPYC ™ AGESA ™ PI.

4 уязвимости классифицируются как опасные (подробности пока не разглашаются):

  • CVE-2020-12954: Возможность обхода механизмов защиты SPI ROM путем изменения определенных внутренних настроек набора микросхем. Уязвимость позволяет злоумышленнику модифицировать SPI Flash для внедрения вредоносного кода или руткитов, невидимых для системы.
  • CVE-2020-12961- Уязвимость в процессоре PSP (AMD Security Processor), который используется для запуска защищенной песочницы, недоступной из основной операционной системы, позволяет злоумышленнику сбросить любые регистры привилегированного процессора в SMN (System Management Network) и обойти SPI Protection ROM.
  • CVE-2021-26331- Ошибка во встроенном в процессор SMU (System Management Unit), используемом для управления энергопотреблением, напряжением и температурой, позволяет непривилегированным пользователям выполнять свой код с повышенными привилегиями.
  • CVE-2021-26335: Неправильная проверка входных данных в загрузчике кода для процессора PSP позволяет применить значения, контролируемые злоумышленником на предыдущем этапе, для проверки цифровой подписи и добиться выполнения вашего кода на PSP.

Кроме того, также упоминается устранение уязвимости (CVE-2021-26334) в инструментарии AMD μProf, поставляется для Linux и FreeBSD, и используется для анализа производительности и энергопотребления. Проблема в присутствует в драйвере AMDPowerProfiler и позволяет пользователю получить доступ к MSR (Регистрация в зависимости от модели) для организации выполнения вашего кода на уровне кольца нулевой защиты (кольцо-0). Уязвимость исправлена ​​в обновлениях amduprof-3.4-502 для Linux и AMDuProf-3.4.494 для Windows.

Теперь о проблемах, которые были устранены в процессорах Intel, стало известно во время публикации ежеквартальных отчетов об уязвимостях в их продуктах, среди которых выделяются следующие аспекты:

  • CVE-2021-0146: - это уязвимость в процессорах Intel Pentium, Celeron и Atom для настольных и мобильных систем, которая позволяет пользователю, имеющему физический доступ к компьютеру, повысить привилегии путем активации режимов отладки. Аппаратное обеспечение позволяет активировать логику тестирования или отладки во время выполнения для некоторых процессоров Intel.
  • CVE-2021-0157, CVE-2021-0158: уязвимости в эталонном коде BIOS для инициализации процессоров Intel Xeon (E / W / Scalable), Core (7/10 / 11gen), Celeron (N) и Pentium Silver. Проблемы вызваны неправильной проверкой ввода или неправильным управлением потоком в прошивке BIOS и позволяют повысить привилегии с локальным доступом.

Наконец, если вам интересно узнать об этом больше Об отчетах AMD и Intel об устранении обнаруженных уязвимостей вы можете ознакомиться с подробностями по следующим ссылкам.

https://www.amd.com

https://www.intel.com


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.