AMD a révélé dans la dernière mise à jour de janvier que trente et une nouvelles vulnérabilités ont été découvertes dans ses processeurs, couvrant les CPU Ryzen et EPYC.







La société a créé de nombreuses mesures d'atténuation pour soulager les processeurs exposés et a également divulgué un rapport de la société en coopération avec les équipes de trois grandes entreprises - Apple, Google et Oracle. La société a également annoncé plusieurs variantes d'AGESA répertoriées dans la mise à jour (le code AGESA est trouvé lors de la construction du BIOS du système et du code UEFI).



En raison de la nature de la vulnérabilité, les modifications d'AGESA ont été livrées aux OEM, et tout correctif dépendra de chaque fournisseur qui devra le publier dès que possible. Il serait sage pour les consommateurs de visiter le site Web officiel du fournisseur pour savoir si une nouvelle mise à jour attend d'être téléchargée, plutôt que d'attendre que l'entreprise la diffuse ultérieurement.







Les processeurs AMD vulnérables à cette nouvelle attaque comprennent les modèles Ryzen pour les ordinateurs de bureau, les séries HEDT, Pro et les CPU mobiles. Il existe une seule vulnérabilité qualifiée de "haute gravité", tandis que deux autres sont moins extrêmes, mais il est néanmoins important de les corriger. Toutes les vulnérabilités sont attaquées par le BIOS et le chargeur de démarrage ASP (également connu sous le nom de chargeur de démarrage AMD Secure Processor).



Les séries de CPU AMD qui sont vulnérables sont :



- Processeurs de la série Ryzen 2000 (Pinnacle Ridge),

- APUs Ryzen 2000,

- APUs Ryzen 5000,

- Processeurs AMD Threadripper 2000 HEDT et Pro pour serveurs,

- Processeurs pour serveurs AMD Threadripper 3000 HEDT et Pro,

- Processeurs mobiles de la série Ryzen 2000,

- Processeurs mobiles de la série Ryzen 3000,

- Processeurs mobiles série Ryzen 5000,

- Processeurs mobiles série Ryzen 6000,

- Processeurs mobiles Athlon série 3000.



Vingt-huit vulnérabilités AMD ont été découvertes affectant les processeurs EPYC, dont quatre modèles étiquetés avec une "gravité élevée" par la société. Les trois de haute gravité peuvent avoir du code arbitraire qui peut être exécuté par des vecteurs d'attaque dans de nombreuses zones. En outre, l'un des trois modèles répertoriés possède un exploit supplémentaire qui permet d'écrire des données dans des sections spécifiques, ce qui entraîne une perte de données. D'autres équipes de recherche ont trouvé quinze autres vulnérabilités de moindre gravité et neuf de gravité mineure.



En raison du grand nombre de processeurs affectés exploités, l'entreprise a choisi de divulguer cette liste récente de vulnérabilités, qui est généralement publiée en mai et en novembre de chaque année, et de s'assurer que les mesures d'atténuation étaient prêtes à être publiées. Les autres vulnérabilités présentes dans les produits AMD comprennent une variante de Hertzbleed, une autre qui agit de manière similaire à l'exploit Meltdown, et une autre appelée "Take A Way".













WCCFTECH