В механизме UEFI некоторых систем была обнаружена уязвимость, которая закрывается путем обновления BIOS. В частности, уязвимы системы с APU, выпущенными между 2016 и 2019 годами. То есть поколения от Bristol Ridge до Raven Ridge и Picasso (Ryzen 3000 и Ryzen 4000 со встроенной графикой).
Уязвимость названа SMM Callout Privilege Escalation (CVE-2020-12890). Она позволяет обойти все механизмы защиты как процессора, так и операционной системы. Но для атаки необходим физический доступ к компьютеру. Но если такой доступ есть, то осуществить можно без проблем. С другой стороны, уязвимость закрывается довольно легко.
Но здесь AMD зависит от помощи производителей материнских плат и ноутбуков. Новый BIOS должен содержать обновленный код AGESA (AMD Generic Encapsulated Software Architecture). Со стороны настольных материнских плат обновления BIOS выходят довольно часто, поэтому AMD сможет решить вопрос оперативно. Но вот с ноутбуками ситуация сложнее.
Ниже приведено заявление AMD по поводу уязвимости::
"AMD is aware of new research related to a potential vulnerability in AMD software technology supplied to motherboard manufacturers for use in their Unified Extensible Firmware Interface (UEFI) infrastructure and plans to complete delivery of updated versions designed to mitigate the issue by the end of June 2020.
The targeted attack described in the research requires privileged physical or administrative access to a system based on select AMD notebook or embedded processors. If this level of access is acquired, an attacker could potentially manipulate the AMD Generic Encapsulated Software Architecture (AGESA) to execute arbitrary code undetected by the operating system.
AMD believes this only impacts certain client and embedded APU processors launched between 2016 and 2019. AMD has delivered the majority of the updated versions of AGESA to our motherboard partners and plans to deliver the remaining versions by the end of June 2020. AMD recommends following the security best practice of keeping devices up-to-date with the latest patches. End users with questions about whether their system is running on these latest versions should contact their motherboard or original equipment/system manufacturer.
We thank Danny Odler for his ongoing security research."
Подписывайтесь на группы Hardwareluxx ВКонтакте и Facebook, а также на наш канал в Telegram (@hardwareluxxrussia).
Мы рекомендуем ознакомиться с нашим руководством по выбору лучшего процессора Intel и AMD на текущий квартал. Оно поможет выбрать оптимальный CPU за свои деньги и не запутаться в ассортименте моделей на рынке.