Компания Google сообщила об обнаружении критической уязвимости в широком спектре процессоров AMD, использующих архитектуры с Zen по Zen 4, включая серверные EPYC и потребительские Ryzen. По данным Google, брешь позволяет злоумышленникам, обладающим правами локального администратора, получать контроль над системой, используя инструкцию RDRAND для загрузки вредоносных патчей микрокода. Об этом сообщает издание «3DNews».
Уязвимость, о которой впервые было сообщено AMD 25 сентября 2023 года, позволяет злоумышленникам запускать вредоносное программное обеспечение на виртуальных машинах жертвы и получать доступ к конфиденциальным данным. Причиной является использование небезопасной хэш-функции при проверке подписи обновлений микрокода. Это ставит под угрозу даже защищенные среды, использующие технологии AMD Secure Encrypted Virtualization (SEV-SNP) и Dynamic Root of Trust Measurement.
Среди затронутых процессоров перечислены серверные EPYC Naples, Rome, Milan и Genoa, а также мобильные Phoenix. Предполагается, что список уязвимых моделей значительно шире.
После уведомления AMD, компания выпустила необходимые обновления для своих клиентов к 17 декабря 2023 года. В настоящее время патчи для устранения уязвимости доступны для скачивания.
Соблюдая стандартную практику ответственного раскрытия информации, Google воздержалась от публичного объявления уязвимости до предоставления AMD достаточного времени для распространения исправлений. Информация была опубликована на GitHub после того, как клиенты AMD получили возможность обновить свои системы.
Чтобы помочь пользователям в дальнейшем, Google планирует представить более подробную информацию об уязвимости и инструменты для ее анализа и защиты не ранее 5 марта 2024 года. Пользователям рекомендуется установить последние обновления микрокода от AMD для защиты от потенциальных угроз.