AMD EPYC: vazamento crítico de segurança nos comentários do servidor CPU 11
Imagem: AMD
Os pesquisadores de segurança do Google informaram a AMD sobre uma lacuna de segurança em seus processadores de servidor. Um invasor local pode carregar código de firmware danificado por meio de uma verificação de assinatura inadequada. No entanto, isso requer direitos de administrador. Porém, o risco é classificado como “alto”.
Segundo a AMD, a fuga de segurança, que agora é fechada pela atualização de firmware, com a identificação CVE-2024-56161, diz respeito às séries EPYC 7001 (Nápoles), EPYC 7002 (Roma), EPYC 7003 (Milão, Milão -X) e EPYC 9004 (Milão, Milão, Milão, Milão, Milão, Gênova, Génoa-X, Bérgamo, Siena). Os processadores das arquiteturas Zen 1 a Zen 4 são, portanto, afetados. Os atuais núcleos EPYC 7005 e 9005 com núcleos Zen-5 não estão abaixo.
A verificação inadequada de assinatura no carregador de patch de microcódigo ROM de CPU AMD pode permitir que um invasor com privilégio de administrador local carregue microcódigo de CPU malicioso, resultando em perda de confidencialidade e integridade de um convidado confidencial executando AMD SEV -SNP.
AMD
Google Security já relatou o vazamento em setembro
Pesquisadores da equipe de segurança do Google já haviam registrado o ponto fraco em setembro de 2024 na AMD. Como de costume, o silêncio foi mantido para que potenciais invasores não descobrissem.
Uma solução seguida em dezembro
Em 17 de dezembro, a AMD finalmente forneceu aos seus clientes comerciais uma atualização de firmware com a qual o ponto fraco foi resolvido. Para desta vez ter que jogar a atualização, a falha de segurança só foi divulgada em 3 de fevereiro de 2025.
No entanto, os investigadores da Google ainda não revelaram todos os detalhes e só pretendem fazê-lo no dia 5 de março para dar mais tempo à consolidação dos sistemas.
Devido à extensa cadeia de fornecimento, sequência e coordenação necessárias para solucionar esse problema, não anunciaremos detalhes completos para dar aos usuários tempo para restaurar a compensação confidencial. Anunciaremos mais detalhes e ferramentas em 5 de março de 2025.
Equipe de segurança do Google
Tópicos: Servidor do processador AMD EPYC Fonte: GitHub, AMD
Marc decifra processadores testando seu desempenho para jogos, criação de conteúdo e inteligência artificial.
