Предыдущая публикация
В чипах AMD на архитектурах с Zen по Zen 4 обнаружена уязвимость, позволяющая красть данные и захватывать системы
По сложившейся практике, разработчики и исследователи в сфере информационной безопасности сообщают поставщикам скомпрометированной продукции о своих открытиях, чтобы те имели возможность устранить прорехи. Только после этого информация о них предаётся огласке. Google в сентябре прошлого года нашла уязвимости в процессорах AMD EPYC серверного класса, относящихся к архитектурам с Zen по Zen 4.
Источник изображения: AMD
Как отмечается авторами бюллетеня, найденная уязвимость позволяла злоумышленникам с правами локального администратора загружать вредоносные патчи микрокода, запускать на виртуальных машинах жертвы вредоносное программное обеспечение и получать доступ к его данным. Уязвимость заключается в том, что процессор использует небезопасную хэш-функцию при проверке подписи обновлений микрокода. Эта уязвимость может быть использована злоумышленниками для компрометации конфиденциальных вычислительных рабочих нагрузок, защищенных новейшей версией AMD Secure Encrypted Virtualization, SEV-SNP, или для компрометации Dynamic Root of Trust Measurement.
Серверные процессоры EPYC Naples, Rome, Milan и Genoa оказались в зоне риска, но специалисты Google передали всю необходимую для устранения уязвимости информацию по конфиденциальным каналам 25 сентября прошлого года, после чего к 17 декабря AMD смогла распространить необходимые обновления среди своих клиентов.
Выдержав необходимую для полноценного устранения уязвимостей клиентами AMD паузу, Google сообщила о найденной уязвимости на страницах GitHub. Чтобы дополнительно обезопасить клиентов AMD, представители Google дополнительные подробности об уязвимости и инструменты для работы с ней пообещали продемонстрировать не ранее 5 марта текущего года.
Подробнее https://7ooo.ru/group/2025/02/04/294-v-chipah-amd-na-arhitekturahs-zen-po-zen-4-obnaruzhena-uyazvimost-pozvolyayuschaya-krast-dannye-i-zahvatyvat-sistemy-grss-378880050.html
Следующая публикация
Нет комментариев