AMD EPYC: perdita di sicurezza critica nel server CPU 11 commenti
Immagine: AMD
I ricercatori di Google Security hanno informato AMD di una lacuna di sicurezza nei processori dei suoi server. Un utente malintenzionato locale potrebbe caricare codice firmware danneggiato tramite un controllo della firma inappropriato. Tuttavia, ciò richiede i diritti di amministratore. Il rischio è comunque classificato come “alto”.
Secondo AMD, la falla di sicurezza, che ora è chiusa dall’aggiornamento del firmware, con l’identificazione CVE-2024-56161, riguarda la serie EPYC 7001 (Napoli), EPYC 7002 (Roma), EPYC 7003 (Milano, Milano -X) e EPYC 9004 (Milano, Milano, Milano, Milano, Milano, Genova, Génoa-X, Bergamo, Siena). Sono quindi interessati i processori delle architetture da Zen 1 a Zen 4. Gli attuali core EPYC 7005 e 9005 con core Zen-5 non sono inferiori.
La verifica impropria della firma nel caricatore di patch del microcodice della ROM della CPU AMD può consentire a un utente malintenzionato con privilegio di amministratore locale di caricare microcodice della CPU dannoso con conseguente perdita di riservatezza e integrità di un guest riservato che esegue AMD SEV -SNP.
AMD
Google Security aveva già segnalato la fuga di notizie a settembre
I ricercatori del team di sicurezza di Google avevano già rilevato il punto debole di AMD nel settembre 2024. Come al solito è stato mantenuto il silenzio affinché eventuali aggressori non lo venissero a sapere.
Una soluzione è arrivata a dicembre
Il 17 dicembre AMD ha finalmente fornito ai suoi clienti commerciali un aggiornamento del firmware con cui è stato risolto il punto debole. Per questa volta dover riprodurre l’aggiornamento, la lacuna di sicurezza non è stata resa pubblica fino al 3 febbraio 2025.
I ricercatori di Google però non hanno ancora rivelato tutti i dettagli e vogliono farlo solo il 5 marzo per dare più tempo al consolidamento dei sistemi.
A causa dell‘ampia catena di fornitura, della sequenza e del coordinamento necessari per porre rimedio a questo problema, non annunceremo tutti i dettagli per dare agli utenti il tempo di ripristinare un compenso riservato. Annunceremo ulteriori dettagli e strumenti il 5 marzo 2025.
Team di sicurezza di Google
Argomenti: Sorgente del server del processore AMD EPYC Sorgente: GitHub, AMD
Marc decodifica i processori testando le loro prestazioni per gaming, creazione di contenuti e intelligenza artificiale.
