AMD potwierdziło istnienie problemu z zabezpieczeniami mikrokodu swoich procesorów, jednak nie chce ujawnić, które procesory są zagrożone. Informacje te nieumyślnie ujawnił wcześniej producent płyt głównych Asus.
Tavis Ormandy, znany badacz ds. bezpieczeństwa, odkrył w notatkach dotyczących wydania beta systemu BIOS Asusa wzmiankę o luce określanej jako „AMD Microcode Signature Verification Vulnerability” (Luka w zabezpieczeniach weryfikacji podpisu mikrokodu AMD). Notatki te wskazywały, że problem dotyczy płyt głównych do gier, co było zaskakujące, ponieważ AMD wcześniej nie informowało publicznie o istnieniu takiej luki. Po nagłośnieniu sprawy przez społeczność Asus szybko edytował swoje notatki, usuwając wzmiankę o problemie. Jednak, jak potwierdziło później AMD, informacje ujawnione przez Asusa były zgodne z prawdą.
Mikrokod to zestaw instrukcji przechowywanych wewnątrz procesora, które wspierają jego pracę, umożliwiając wykonywanie złożonych operacji. Funkcjonuje on w tle, ale potencjalne luki mogą otworzyć drogę do przeprowadzenia zaawansowanych ataków na system.
Luka ujawniona przez Asusa pozwala na nadużycie weryfikacji podpisu mikrokodu, co oznacza, że złośliwy kod mógłby zostać uruchomiony na procesorze. Jak jednak podkreśliło AMD, przeprowadzenie takiego ataku wymaga spełnienia kilku warunków, w tym lokalnego dostępu do systemu na poziomie administratora oraz stworzenia i uruchomienia złośliwego mikrokodu.
Stanowisko AMD
AMD wydało oświadczenie, w którym potwierdziło, że jest świadome istnienia tej luki. Firma zaznaczyła jednak, że potencjalne wykorzystanie tej podatności wymaga specyficznych okoliczności, w tym zaangażowania użytkownika. „AMD zapewniło środki zaradcze i aktywnie współpracuje z partnerami oraz klientami w celu wdrożenia tych rozwiązań” – podano w komunikacie. AMD zaapelowało również do użytkowników, aby stosowali standardowe praktyki bezpieczeństwa, takie jak instalowanie oprogramowania wyłącznie od zaufanych dostawców. Firma poinformowała, że wkrótce opublikuje szczegółowy biuletyn bezpieczeństwa, zawierający dodatkowe informacje oraz zalecenia dotyczące ochrony.
Do tej pory AMD nie ujawniło, które modele procesorów są podatne na atak, co wywołuje niepokój wśród użytkowników i ekspertów. Tavis Ormandy zauważył, że łatka na tę lukę nie jest jeszcze dostępna w oprogramowaniu układowym Linux, co czyni aktualizację BIOS-u Asusa jedynym publicznie dostępnym rozwiązaniem.
Pokaż / Dodaj komentarze do: Asus ujawnia lukę z procesorach AMD. Producent Ryzenów ukrywa skalę problemu