AMD meldt talloze beveiligingslekken in verschillende processors

Elwin Hodžić
0

AMD heeft verschillende berichten gepubliceerd om beveiligingslekken in cpu’s en firmware aan te pakken. Kwaadwillenden krijgen door deze lekken de mogelijkheid om met hoge rechten kwaadaardige code in systemen te injecteren en uit te voeren. Firmware-updates zijn noodzakelijk om deze lekken te dichten.

Om wat voor kwetsbaarheden gaat het?

Vier kwetsbaarheden stellen kwaadwillenden in staat om op verschillende manieren toegang te verkrijgen tot en inhoud te wijzigen in flashgeheugen dat is verbonden via SPI. Normaal gesproken bevindt het BIOS zich in het SPI-flashgeheugen en kan op deze manier worden gemanipuleerd.

Dit maakt het mogelijk voor kwaadwillenden om eigen code te injecteren en uit te voeren, waarbij ze de hoogste rechten verkrijgen. De bijbehorende CVE-entries zijn CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 en CVE-2023-20587. AMD beoordeelt het risico van alle kwetsbaarheden als “hoog”.

Welke cpu’s zijn er getroffen?

Diverse processoren worden door AMD als getroffen vermeld. Onder andere de voor datacenters bedoelde EPYC-cpu’s van de eerste tot de vierde generatie, desktop-cpu’s Ryzen van de 3000-serie tot de 7000-serie, Threadripper uit de 3000- en 5000-serie, evenals de mobiele processoren van de Athlon 3000-serie en Mobile Ryzen van de 3000- tot de 7000-serie.

Ook Embedded-processoren van de EPYC- en Ryzen-merken worden door AMD tot de kwetsbare cpu’s gerekend. Niet alle genoemde processoren zijn tegelijkertijd kwetsbaar voor alle vier de lekken. De beveiligingsmelding noemt firmware-blobs met versienummers voor de verschillende cpu’s die fabrikanten in hun BIOS kunnen integreren.


Altijd op de hoogte blijven van alle beveilingslekken?

Schrijf je in voor de gratis nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Kwetsbaarheden in embedded-processors

Veel meer dan een handvol beveiligingslekken meldt AMD in de Embedded-cpu’s. Sommige dateren al ver terug, zoals het jaar 2020, en betreffen bijvoorbeeld de AMD Platform Security Processor (PSP), die nu AMD Secure Processor (ASP) heet. Door beveiligingslekken in de drivers of in de kernel kunnen kwaadwillenden hun rechten uitbreiden.

Naast deze zijn er vijf andere, als hoog risico beoordeelde kwetsbaarheden, die kwaadwillende actoren in staat stellen hun rechten uit te breiden of willekeurige programmacode uit te voeren. Ook hier is niet elke Embedded-processor getroffen door elk vermeld beveiligingslek. AMD biedt ook hier firmware-blobs aan om de beveiligingsgaten te dichten.

Problemen met Ultrascale- en Ultrascale+-FPGA’s

AMD deelt ook mee dat de Ultrascale- en Ultrascale+-FPGA’s, die RSA-authenticatie gebruiken zonder versleuteling of zonder afgedwongen versleuteling door een ingesteld eFUSE-register, door kwaadwillenden met willekeurige gegevensstromen beladen kunnen worden, zonder een authenticatiefoutmelding te genereren (CVE-2023-20570, risico “gemiddeld”). Een ontwerp-aanbeveling zou het risico moeten verlagen.

Lekken in SEV-SNP-firmware

Iets exotischer zijn lekken in de Secure Encrypted Virtualization en Secure Nested Paging (SEV-SNP)-firmware. Een lek stelt kwaadwillenden met verhoogde rechten in staat om (verouderde) gegevens van andere gastsystemen te benaderen (CVE-2023-31346, gemiddeld) of een onjuiste Time Stamp Counter (TSC) voor een gastsystem te tonen, wanneer eigenlijk een Secure TSC geactiveerd was – dit kan de integriteit van het gastsystem schenden (CVE-2023-31347, laag).

Aanbevelingen voor gebruikers van AMD-systemen

Gebruikers van AMD-systemen moeten uitkijken of de fabrikant van hun systeem BIOS-updates aanbiedt, en deze installeren wanneer ze beschikbaar zijn. In augustus vorig jaar hadden Intel en AMD meerdere beveiligingslekken in de cpu’s ontdekt. Microcode- en firmware-updates zouden hierbij moeten helpen. Ook toen moesten moederbord- en PC-bouwers deze in hun eigen BIOS-updates gieten en deze verspreiden, zodat eindgebruikers beschermd werden.


Altijd op de hoogte blijven van alle beveilingslekken?

Schrijf je in voor de gratis nieuwsbrief van c’t magazine:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

Één jaar lang korting op internet en tv met deze Odido aanbieding

Ben je op zoek naar manieren om te besparen op internet en tv? Of het nu gaat om het vinden van een voordelig abonnement of vanwege een recente verhui...

Teufel brengt nieuwe draadloze CAGE PRO gaming-headset uit

Teufel heeft de CAGE PRO uitgebracht, een draadloze gamingheadset die volgens de fabrikant vrijwel latentie-vrije geluid biedt. Verder beschikt de hea...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er