Η AMD και η Intel έχουν αποκαλύψει μια σειρά από σημαντικά σφάλματα ασφαλείας — φροντίστε να επιδιορθώσετε αμέσως, καθώς περιλαμβάνει επιτέλους μια επιδιόρθωση για το Zenbleed

Η AMD και η Intel έχουν κυκλοφορήσει και οι δύο μια σειρά από ενημερώσεις κώδικα που διορθώνουν ορισμένα σοβαρά ζητήματα ασφαλείας που επηρεάζουν τις αντίστοιχες προσφορές υλικού τους.

Αρχικά, η AMD βρήκε και διόρθωσε τέσσερα τρωτά σημεία που ταλαιπωρούσαν διαφορετικές εκδόσεις των CPU που βασίζονται στο Zen.

Τα τρωτά σημεία επιτρέπουν στους φορείς απειλών να εκτελούν, μεταξύ άλλων, κακόβουλο κώδικα στις στοχευμένες συσκευές – αλλά ενώ η εταιρεία αντιμετώπισε τα ελαττώματα με την κυκλοφορία ενημερώσεων κώδικα, οι διορθώσεις δεν έχουν ακόμη φτάσει σε όλους τους χρήστες.

Διόρθωση Zenbleed

Τα ελαττώματα που εντόπισε η AMD επηρεάζουν διαφορετικές CPU (δεν επικαλύπτονται πάντα). Ωστόσο, όλα θέτουν σε κίνδυνο την ασφάλεια της διεπαφής SPI, η οποία συνδέεται με το τσιπ flash που αποθηκεύει το BIOS. Τα τρωτά σημεία παρακολουθούνται ως CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 και CVE-2023-20587 και όλα βαθμολογούνται ως “υψηλής σοβαρότητας”.

Θεωρητικά, ένας παράγοντας απειλής θα μπορούσε να κάνει κατάχρηση αυτών των ελαττωμάτων για να δημιουργήσει επιθέσεις άρνησης υπηρεσίας, να κλιμακώσει τα προνόμια και να εκτελέσει αυθαίρετο κώδικα, που θα μπορούσε να οδηγήσει σε πλήρη κατάληψη τελικού σημείου. Το ασήμι εδώ είναι ότι οι επιτιθέμενοι θα πρέπει να έχουν τοπική πρόσβαση στο ευάλωτο σύστημα.

Τα ελαττώματα επηρέασαν τόσο τα αρχικά τσιπ Zen όσο και τους τελευταίους επεξεργαστές Zen 4, καθώς και πολλές από τις ενδιάμεσες παραλλαγές. Η πλήρης λίστα των επηρεαζόμενων τσιπ, και οι ενημερώσεις κώδικα, βρίσκονται στην AMD’s


συμβουλευτικός


δημοσιεύθηκε νωρίτερα αυτή την εβδομάδα. Η AMD διόρθωσε τα ελαττώματα εκδίδοντας μια νέα έκδοση του AGESA, του βασικού κώδικα για το BIOS της μητρικής πλακέτας. Η νέα έκδοση για τσιπ που βασίζονται σε Zen 2 επίσης διορθώνει το Zenbleed.

Για να αποκτήσετε τις νέες εκδόσεις AGESA, πρέπει να αναπτυχθεί νέο BIOS στους χρήστες, επομένως, παρόλο που το νέο AGESA είναι τεχνικά διαθέσιμο, δεν σημαίνει ότι όλες οι μητρικές μπορούν να ενημερωθούν αμέσως.

Η AMD απέδωσε στους Enrique Nissim, τον Krzysztof Okupski και τον Joseph Tartaro της IOActive για την ανακάλυψη και την αναφορά αυτών των ζητημάτων, αν και πρόσθεσε ότι «ορισμένα από τα ευρήματα έγιναν σε υπολογιστές που χρησιμοποιούν ξεπερασμένο υλικολογισμικό ή λογισμικό». Προέτρεψε όλους τους πελάτες να εφαρμόσουν τις ενημερώσεις κώδικα το συντομότερο δυνατό και συνέστησε να ακολουθούν τις βέλτιστες πρακτικές ασφαλείας για να παραμείνουν ασφαλείς.

Η Intel διορθώνει τρεις δωδεκάδες ελαττώματα

Ταυτόχρονα, η Intel επιδιορθώνει σχεδόν τρεις δωδεκάδες διαφορετικές ευπάθειες, επηρεάζοντας διάφορα λογισμικό και υλικολογισμικό.

Συνολικά, 32 σφάλματα αφορούσαν λογισμικό, επηρεάζοντας διαφορετικά προγράμματα οδήγησης chipset, Wi-Fi και άλλα στοιχεία. Τα υπόλοιπα δύο σφάλματα ήταν ελαττώματα λογισμικού και υλικολογισμικού που επηρέασαν το Thunderbolt.

Το πρόβλημα λογισμικού, που επηρέαζε τα προγράμματα οδήγησης Thunderbolt, ήταν ιδιαίτερα ανησυχητικό καθώς περιλάμβανε 20 διαφορετικά exploits που θα μπορούσαν να επιτρέψουν στους παράγοντες απειλών να κλιμακώσουν τα προνόμια, να πραγματοποιήσουν επιθέσεις άρνησης υπηρεσίας και να κλέψουν δεδομένα. Από τα 20, τα τρία είναι «υψηλής σοβαρότητας».

Ένα καλό νέο είναι ότι η πλειονότητα των 20 προγραμμάτων οδήγησης Thunderbolt απαιτεί τοπική πρόσβαση στη συσκευή. Τα κακά νέα είναι ότι για να αντιμετωπιστούν όλα τα ελαττώματα, οι χρήστες πρέπει να ενημερώσουν κάθε λογισμικό και υλικολογισμικό που αναφέρονται από την Intel, ξεχωριστά.

Μέσω


Tom’s Hardware