Уязвимости в процессорах AMD и Intel
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания AMD сообщила об устранении 22 уязвимостей в первом, втором и третьем поколениях серверных процессоров AMD серии EPYC, позволяющих скомпрометировать работу технологий PSP (Platform Security Processor),
SMU (System Management Unit) и SEV (Secure Encrypted Virtualization). 6 проблем были выявлены в 2020 году, а 16 в 2021 году. 11 уязвимостей в ходе проведения внутренних исследований безопасности выявили сотрудники компании Google, 6 - компании Oracle и 5 - компании Microsoft.
Для OEM-производителей оборудования выпущены обновлённые наборы прошивок AGESA (AMD Generic Encapsulated Software Architecture), обходным путём блокирующие проявление проблем. Обновления BIOS и UEFI-прошивок для своих серверных систем уже выпустили такие компании, как Hewlett Packard Enterprise, Dell, Supermicro и Lenovo.
4 уязвимости отнесены к категории опасных (детали пока не раскрываются):
- CVE-2020-12954 - возможность обхода механизмов защиты SPI ROM через манипуляции с определёнными внутренними настройками чипсета. Уязвимость позволяет атакующему внести изменения в SPI Flash для внедрения невидимого для системы вредоносного кода или руткитов.
- СVE-2020-12961 - уязвимость в процессоре PSP (AMD Security Processor), применяемом для выполнения недоступного из основной ОС защищённого изолированного окружения, позволяет атакующему обнулить любой привилегированный регистр процессора в SMN (System Management Network) и обойти защиту SPI ROM.
- CVE-2021-26331 - ошибка в интегрированной в процессор подсистеме SMU (System Management Unit), применяемой для управления энергопотреблением, вольтажом и температурой, позволяет непривилегированному пользователю добиться выполнения своего кода с повышенными привилегиями.
- CVE-2021-26335 - некорректная проверка входных данных в загрузчике кода для PSP-процессора даёт возможность применить контролируемые атакующим значения на стадии до проверки цифровой подписи и добиться выполнения своего кода в PSP.
Отдельно отмечается устранение уязвимости (CVE-2021-26334) в инструментарии AMD μProf, поставляемом в том числе для Linux и FreeBSD, и используемом для анализа производительности и энергопотребления
Проблема присутствует в драйвере AMDPowerProfiler и позволяет непривилегированному пользователю добиться доступа к регистрам MSR (Model-Specific Register) для организации выполнения своего кода на уровне нулевого кольца защиты (ring-0). Уязвимость устранена в обновлении
amduprof-3.4-502 для Linux и AMDuProf-3.4.494 для Windows.
Тем временем компания Intel опубликовала ежеквартальные отчёты об уязвимостях в своих продуктах, из которых выделяются следующие проблемы:
- CVE-2021-0146 - уязвимость в процессорах Intel Pentium, Celeron и Atom для мобильных и десктоп-систем, позволяющая пользователю с физическим доступом к оборудованию добиться повышения привилегий через активацию отладочных режимов.
- CVE-2021-0157, CVE-2021-0158 - уязвимости в эталонном коде BIOS, поставляемом для инициализации процессоров Intel Xeon (E/W/Scalable), Core (7/10/11gen), Celeron (N) и Pentium Silver. Проблемы вызваны некорректной проверкой ввода или неверным управлением потоком в прошивке BIOS и позволяют повысить привилегии при наличии локального доступа.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.amd.com/en/corpora...)
- OpenNews: В процессорах AMD на базе микроархитектур Zen+ и Zen 2 обнаружена уязвимость класса Meltdown
- OpenNews: Уязвимость в UEFI для процессоров AMD, позволяющая выполнить код на уровне SMM
- OpenNews: Уязвимости в реализации технологии AMD SEV, затрагивающая процессоры AMD EPYC
- OpenNews: Уязвимость в AMD SEV, позволяющая определить ключи шифрования
- OpenNews: Компания AMD подтвердила наличие уязвимостей в своих чипах
Похожие новости:
- Компания Canonical представила сборки Ubuntu, оптимизированные для процессоров Intel
- Intel открыл код системы машинного обучения ControlFlag для выявления ошибок в коде
- Атака на Intel SGX, позволяющая извлечь конфиденциальные данные или выполнить код в анклаве
- В процессорах AMD выявлена ещё одна уязвимость, допускающая атаки класса Meltdown
- В процессорах AMD на базе микроархитектур Zen+ и Zen 2 обнаружена уязвимость класса Meltdown
- Доступна система фильтрации спама Rspamd 3.0
- Доля Linux-пользователей в Steam составила 1%. Valve и AMD работают над улучшением управления частотой CPU AMD в Linux
- [Производство и разработка электроники, Компьютерное железо, Процессоры, Будущее здесь] TSMC разработала прямое водяное охлаждение чипов на 2600 Вт
- [FPGA, Системы сборки, DevOps, Производство и разработка электроники] Continuous Integration для Intel FPGA (Altera)
- [Python, Алгоритмы, Big Data, Машинное обучение, Искусственный интеллект] Open Data Science Odessa Meetup #3
Теги для поиска: #_amd, #_intel, #_cpu
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 06:03
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Компания AMD сообщила об устранении 22 уязвимостей в первом, втором и третьем поколениях серверных процессоров AMD серии EPYC, позволяющих скомпрометировать работу технологий PSP (Platform Security Processor), SMU (System Management Unit) и SEV (Secure Encrypted Virtualization). 6 проблем были выявлены в 2020 году, а 16 в 2021 году. 11 уязвимостей в ходе проведения внутренних исследований безопасности выявили сотрудники компании Google, 6 - компании Oracle и 5 - компании Microsoft. Для OEM-производителей оборудования выпущены обновлённые наборы прошивок AGESA (AMD Generic Encapsulated Software Architecture), обходным путём блокирующие проявление проблем. Обновления BIOS и UEFI-прошивок для своих серверных систем уже выпустили такие компании, как Hewlett Packard Enterprise, Dell, Supermicro и Lenovo. 4 уязвимости отнесены к категории опасных (детали пока не раскрываются):
Проблема присутствует в драйвере AMDPowerProfiler и позволяет непривилегированному пользователю добиться доступа к регистрам MSR (Model-Specific Register) для организации выполнения своего кода на уровне нулевого кольца защиты (ring-0). Уязвимость устранена в обновлении amduprof-3.4-502 для Linux и AMDuProf-3.4.494 для Windows. Тем временем компания Intel опубликовала ежеквартальные отчёты об уязвимостях в своих продуктах, из которых выделяются следующие проблемы:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 06:03
Часовой пояс: UTC + 5