AMD beschrijft in een blogpost ruim twintig kwetsbaarheden die betrekking hebben op Epyc-serverprocessors. Alle huidige serverchipsets, Epyc 7001 (Napels), Epyc 7002 (Rome) en Epyc 7003 (Milaan), zijn vatbaar voor de uiteenlopende kwetsbaarheden. Met een biosupdate met de nieuwste AMD Generic Encapsulated Software Architecture-versie (AGESA) moeten de betreffende problemen opgelost worden. Het gaat om respectievelijk AGESA-versie NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C en MilanPI-SP3_1.0.0.4, die per fabrikant op andere momenten uitgerold worden.
Vier van de vermelde kwetsbaarheden zijn met de risicofactor 'hoog' bestempeld, terwijl de rest 'medium' is wat betreft de ernst ervan. De meeste van de ontdekte kwetsbaarheden hebben betrekking op AMD's Platform Security Processor en System Management Unit. Ook de Secure Encrypted Virtualization-functie bevatte enkele beveiligingsgebreken.
Een onbekend aantal van de vermelde kwetsbaarheden zou al veel langer bekend zijn bij AMD, zo beweert beveiligingsonderzoeker Volodymyr Pikhur. Hij zou AMD in 2019 hebben ingelicht over niet nader genoemde kwetsbaarheden, maar hij zou daar niet voor gecrediteerd zijn. Pikhur noemt het "een van de slechtste 'gecoördineerde' openbaringen [van een kwetsbaarheid]" die hij ooit meemaakte. Het is niet duidelijk over welke kwetsbaarheden het gaat; de beveiligingsonderzoeker publiceerde verder geen details over het vermeende voorval.
Epyc Napels, Rome en Milaan zijn vatbaar voor de 22 kwetsbaarheden. AMD legt in de gelinkte blogpost uit welke generaties voor welke kwetsbaarheden vatbaar zijn
Bron: AMD
