Компания разработала множество мер по смягчению последствий для незащищенных процессоров, а также опубликовала отчет компании в сотрудничестве с командами из трех ведущих компаний — Apple, Google и Oracle. Компания также объявила о нескольких вариантах AGESA, перечисленных в обновлении (код AGESA находится при сборке кода BIOS и UEFI системы).
Из-за характера уязвимости изменения AGESA были доставлены OEM-производителям, и любое исправление будет зависеть от каждого поставщика, чтобы выпустить его как можно скорее. Для потребителей было бы разумно посетить официальный веб-сайт поставщика, чтобы узнать, есть ли новое обновление, ожидающее загрузки, а не ждать, пока компания выпустит его позже.
Процессоры AMD, уязвимые для этой новой атаки, включают модели Ryzen для настольных ПК, серии HEDT, Pro и мобильных процессоров. Существует одна уязвимость, помеченная как «высокая степень серьезности», а две другие менее опасны, но их все же необходимо исправить. Все уязвимые места атакуются через загрузчик BIOS и ASP (также известный как загрузчик AMD Secure Processor).
Уязвимые серии процессоров AMD:
- Процессоры серии Ryzen 2000 (Pinnacle Ridge)
- APU Ryzen 2000
- APU Ryzen 5000
- Серии серверных процессоров AMD Threadripper 2000 HEDT и Pro
- Серии серверных процессоров AMD Threadripper 3000 HEDT и Pro
- Мобильные процессоры Ryzen серии 2000
- Мобильные процессоры Ryzen серии 3000
- Мобильные процессоры Ryzen серии 5000
- Мобильные процессоры Ryzen серии 6000
- Мобильные процессоры Athlon серии 3000
AMD было обнаружено 28 уязвимостей, затрагивающих процессоры EPYC, при этом четыре модели отмечены компанией как «высокая серьезность». Тройка с высокой степенью серьезности может иметь произвольный код, который может быть выполнен с помощью векторов атаки во многих областях. Кроме того, один из трех перечисленных имеет дополнительный эксплойт, который позволяет записывать данные в определенные разделы, что приводит к потере данных. Другие исследовательские группы обнаружили еще пятнадцать уязвимостей с меньшей степенью серьезности и девять с незначительной степенью серьезности.
Из-за большого количества эксплуатируемых уязвимых процессоров компания решила раскрыть этот последний список уязвимостей, который обычно публикуется в мае и ноябре каждого года, и убедиться, что к выпуску подготовлены меры по устранению последствий. Другие уязвимости в продуктах AMD включают вариант Hertzbleed, другой, который действует аналогично эксплойту Meltdown, и один под названием «Take A Way».
ПК Железо
Источник: playground.ru
