AMD heeft zijn Security Bulletin aangevuld met 31 nieuwe kwetsbaarheden in zijn processoren. Het gros van de achterdeuren heeft een impact op de Epyc-serverchips, de Ryzen- en Threadripper-lijnen zijn echter niet vrijgesteld van problemen.
Zo zijn er drie kwetsbaarheden die verschillende consumenten-cpu’s treffen: CVE‑2021‑26316 heeft de categorie ‘zeer ernstig’ gekregen, gevolgd door een gemiddelde en lage bedreiging voor CVE‑2021‑26346 en CVE‑2021‑46795. In alle gevallen gaat het om bios-hacks of een aanval via de AMD Secure Processor (ASP) bootloader. Naast de 2000-serie voor desktops behoren apu’s uit de 5000-reeks tot de getroffen sku’s, alsook Threadripper 2000 en 3000 en verscheidene laptop-cpu’s uit de 2000-, 3000-, 5000- en 6000-lijnen.
De fabrikant heeft ook niet minder dan 28 bugs in zijn Epyc-processoren opgesomd, waarvan vier als zeer ernstig zijn gemarkeerd (CVE‑2021‑26316, CVE-2021-26398, CVE-2021-39298 en CVE-2021-26402). Drie hiervan kunnen worden misbruikt om malafide code uit te voeren, terwijl de laatste kan leiden tot verlies van gegevensintegriteit en beschikbaarheid. Verder zijn er 15 andere kwetsbaarheden aan het licht gekomen die als gemiddelde dreiging zijn gecategoriseerd, gevolgd door nog eens negen met een lage ernstgraad.
AMD heeft verschillende Agesa-revisies aan zijn oem-partners verschaft die de gaten moeten dichten. Hiermee kunnen deze bedrijven bios-updates uitbrengen, al zal de beschikbaarheid verschillen per fabrikant. De volledige lijst met kwetsbaarheden voor consumenten kun je hier terugvinden, op deze pagina worden de Epyc-bugs opgesomd.
Bronnen: AMD, Tom's Hardware
