Исследователи из команды Google Security Team обнаружили уязвимость в процессорах AMD Zen 1-4, которая позволяет злоумышленникам с привилегиями локального администратора загружать вредоносные микрокоды. Эта уязвимость связана с использованием небезопасной хеш-функции при проверке подписи микрокодов.
Согласно сообщению Google, уязвимость позволяет злоумышленникам компрометировать конфиденциальные вычислительные нагрузки, защищенные технологией AMD Secure Encrypted Virtualization (SEV-SNP), а также нарушить динамическое измерение корневого доверия (Dynamic Root of Trust Measurement).
AMD выпустила обновление микрокода, которое устраняет эту уязвимость. Обновление требует установки новой версии BIOS и перезагрузки системы. Пользователи могут проверить наличие исправления через отчет об аттестации SEV-SNP.
Уязвимость затрагивает процессоры серий AMD EPYC 7001, 7002, 7003 и 9004. Подробные версии микрокодов и инструкции по обновлению можно найти в бюллетене безопасности AMD.
Уязвимость получила оценку 7.2 по шкале CVSS, что соответствует высокому уровню опасности. Идентификатор уязвимости: CVE-2024-56161.
>>> Подробности
