AMD vient de dévoiler que ses processeurs ZEN étaient touchés par quatre grosses vulnérabilités. Ces vulnérabilités, détaillées dans le bulletin de sécurité AMD-SB-7009, touchent une large gamme de systèmes, incluant les serveurs, les ordinateurs de bureau, les stations de travail, les plateformes HEDT, mobiles et embarquées. Classées comme risques "Élevés", ces vulnérabilités prennent racine dans l'interface périphérique série double (SPI), présentant des voies potentielles pour des attaques par denial-of-service et l'exécution de code à distance.
Voici un aperçu des quatre vulnérabilités :
- CVE-2023-20576 : L'authenticité insuffisante des données de vérification AGESA pourrait permettre des mises à jour non autorisées des données de la ROM SPI, pouvant entraîner un déni de service ou une escalade de privilèges.
- CVE-2023-20577 : Un débordement de bit dans le module SMM permet à un attaquant d'exploiter une vulnérabilité secondaire, autorisant l'accès en écriture non autorisé à la mémoire flash SPI, facilitant l'exécution de code arbitraire.
- CVE-2023-20579 : Un contrôle d'accès inadéquat dans la fonction de protection SPI d'AMD permet son exploitation par des utilisateurs avec un accès privilégié Ring0, compromettant potentiellement l'intégrité et la disponibilité.
- CVE-2023-20587 : Un contrôle d'accès inapproprié en Mode de Gestion Système (SMM) permet un accès non autorisé à la mémoire flash SPI, facilitant l'exécution de code arbitraire.
Les utilisateurs des processeurs de bureau Ryzen série 3000, des APU mobiles série 4000, des puces embarquées V2000 ou des systèmes V3000 doivent rester vigilants, car tous les problèmes affectant ces générations de produits n'ont pas été corrigés. AMD prévoit de publier des mises à jour plus tard ce mois-ci pour adresser les vulnérabilités dans les APU de la série 4000, suivies d'une mise à jour du BIOS en mars 2024 pour les processeurs de la série 3000 et d'un correctif pour les produits embarqués en avril.
Voici un aperçu des quatre vulnérabilités :
- CVE-2023-20576 : L'authenticité insuffisante des données de vérification AGESA pourrait permettre des mises à jour non autorisées des données de la ROM SPI, pouvant entraîner un déni de service ou une escalade de privilèges.
- CVE-2023-20577 : Un débordement de bit dans le module SMM permet à un attaquant d'exploiter une vulnérabilité secondaire, autorisant l'accès en écriture non autorisé à la mémoire flash SPI, facilitant l'exécution de code arbitraire.
- CVE-2023-20579 : Un contrôle d'accès inadéquat dans la fonction de protection SPI d'AMD permet son exploitation par des utilisateurs avec un accès privilégié Ring0, compromettant potentiellement l'intégrité et la disponibilité.
- CVE-2023-20587 : Un contrôle d'accès inapproprié en Mode de Gestion Système (SMM) permet un accès non autorisé à la mémoire flash SPI, facilitant l'exécution de code arbitraire.
Les utilisateurs des processeurs de bureau Ryzen série 3000, des APU mobiles série 4000, des puces embarquées V2000 ou des systèmes V3000 doivent rester vigilants, car tous les problèmes affectant ces générations de produits n'ont pas été corrigés. AMD prévoit de publier des mises à jour plus tard ce mois-ci pour adresser les vulnérabilités dans les APU de la série 4000, suivies d'une mise à jour du BIOS en mars 2024 pour les processeurs de la série 3000 et d'un correctif pour les produits embarqués en avril.
source : Guru 3D
Marque : AMD
Partagez :
Posté le 15 Février 2024 à 12:11 par Aurélien Lagny
