AMD, Haziran ayında güncellenen ürün yazılımını yayınladı ve bu da bazen işlemcilerdeki yüksek risk güvenlik boşluklarını kapatıyor. Crypt kapakları ve modern Ryzen ürün yazılımının TPM'si ve bazen Atrone Slumpt CPU'ları bile etkilenir.
Bir güvenlik bülteninde AMD, bir BT güvenlik araştırmacısının, saldırganların kripto-yarış kayıtlarına daha fazla haklarla erişebilecekleri bir güvenlik açığı bildirdiğini yazıyor. AMD Güvenli İşlemcinin (ASP) bir parçasıdır. Bu sırayla, güvenilir bir yürütme ortamı (TEA) ve donanıma sabitlenmiş güvenilir bir kök sağlayan ve örneğin sistemin başlangıcını ayarlayan tüm genç sistemin (SOCS) entegre bir denetleyicisidir.
Açıklamaya göre, anksiyete, ASP'nin yetersiz erişim kontrolüyle kripto-copirese ASP'lerin kayıtlarına erişebilir. Bu, “bütünlük ve gizlilik kaybına” neden olan işaretçi ve şifreleme endeksleri üzerinde kontrol kaybına yol açabilir (CVE-2023-20599 / EUVD-2023-24778, CVSS 7.9Risk “yüksek“).
Dikkat çekici: AMD, 2023'te zaten bildirilmiş olan zayıf nokta mühüründe iki yıl gerçekleştirildi
AMD: TPM'deki zayıf nokta, uygulamanın CPU'larla ilgili olduğu referanslar
AMD ayrıca birçok işlemcide ürün yazılımına (FTPM) dayalı güvenilir bir platform modülü sağlar. Ayrıca, güvenilir hesaplama grubunun TPM 2.0 referans uygulaması üzerindeki ASP ve ayarları da kullanır. Bu referans uygulamasında, sağlanan bellek alanlarının sonunun ötesinde okumada zayıf bir nokta, bir güvenlik notunda AMD'ye izin verir. Kullanıcı Yolu Uygulamaları, APTPM için hazırlanan komutları fertik olarak gönderebilir ve daha sonra depolanan verileri okuyabilir veya “TPM'nin kullanılabilirliğini etkiler”, yani CVE-2025-2884 / EUVD-2025-17717, CVSS 6.6Risk “orta“).” AMD, güvenilir işleme grubunun raporunu inceledi ve AMD TPM ürün yazılımının zayıf noktadan etkilendiğini varsaydı: “Mühendisler yazmaya devam ediyor.
Güvenlik notuna göre, çok sayıda masaüstü ve mobilya işlemcisi ve AMD Ryzen mobilya, 300 CPU, Incorporated Ryzen ve ayrıca Ripper tel CPU'ları zayıf noktadan etkileniyor. AMD, donanımları için yeni BIOS sürümleri oluşturmak ve bunları son tüketicilere dağıtmak zorunda olan OEM'ler için güncellenmiş ürün yazılımı sağlar. Örneğin, Asus bunu geçen hafta sonu için Apex Rog Crosshair X870E için BIOS güncellemesiyle yaptı. Güncellenmiş AMD Excappulated Yazılım Mimarisi (AGSA) AMD programının kitaplığı, güvenli işlemci AMD'nin APTPM'sindeki veya Ryzen-9000-Desktop cpus'un plüton-TPM'sindeki boşluğu dolduran uygun ürün yazılımı Comboam5 Pi 1.2.0.3e'nin bileşenini içerir. MSI-Motherboard MEG X870E tanrısal için, hatalar düzeltmesi olan yeni bir BIOS vardı, ancak üretici şimdi geri çekildi. Diğer CPU'lar için, Eylül 2024'ten bu yana OEM için, sadece şu anda bilinen güvenlik boşluğunu dolduran ürün yazılımı lekesi olmuştur.
Nisan ayında, güvenlik boşlukları AMD KI-KO işlemcileri bağlamında biliniyordu. Ancak, bu durumda olduğu gibi, CPU'ların en derin ürün yazılımı değil, sürücülerle ilgileniyorlardı.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!
Bir güvenlik bülteninde AMD, bir BT güvenlik araştırmacısının, saldırganların kripto-yarış kayıtlarına daha fazla haklarla erişebilecekleri bir güvenlik açığı bildirdiğini yazıyor. AMD Güvenli İşlemcinin (ASP) bir parçasıdır. Bu sırayla, güvenilir bir yürütme ortamı (TEA) ve donanıma sabitlenmiş güvenilir bir kök sağlayan ve örneğin sistemin başlangıcını ayarlayan tüm genç sistemin (SOCS) entegre bir denetleyicisidir.
Açıklamaya göre, anksiyete, ASP'nin yetersiz erişim kontrolüyle kripto-copirese ASP'lerin kayıtlarına erişebilir. Bu, “bütünlük ve gizlilik kaybına” neden olan işaretçi ve şifreleme endeksleri üzerinde kontrol kaybına yol açabilir (CVE-2023-20599 / EUVD-2023-24778, CVSS 7.9Risk “yüksek“).
Dikkat çekici: AMD, 2023'te zaten bildirilmiş olan zayıf nokta mühüründe iki yıl gerçekleştirildi
AMD: TPM'deki zayıf nokta, uygulamanın CPU'larla ilgili olduğu referanslar
AMD ayrıca birçok işlemcide ürün yazılımına (FTPM) dayalı güvenilir bir platform modülü sağlar. Ayrıca, güvenilir hesaplama grubunun TPM 2.0 referans uygulaması üzerindeki ASP ve ayarları da kullanır. Bu referans uygulamasında, sağlanan bellek alanlarının sonunun ötesinde okumada zayıf bir nokta, bir güvenlik notunda AMD'ye izin verir. Kullanıcı Yolu Uygulamaları, APTPM için hazırlanan komutları fertik olarak gönderebilir ve daha sonra depolanan verileri okuyabilir veya “TPM'nin kullanılabilirliğini etkiler”, yani CVE-2025-2884 / EUVD-2025-17717, CVSS 6.6Risk “orta“).” AMD, güvenilir işleme grubunun raporunu inceledi ve AMD TPM ürün yazılımının zayıf noktadan etkilendiğini varsaydı: “Mühendisler yazmaya devam ediyor.
Güvenlik notuna göre, çok sayıda masaüstü ve mobilya işlemcisi ve AMD Ryzen mobilya, 300 CPU, Incorporated Ryzen ve ayrıca Ripper tel CPU'ları zayıf noktadan etkileniyor. AMD, donanımları için yeni BIOS sürümleri oluşturmak ve bunları son tüketicilere dağıtmak zorunda olan OEM'ler için güncellenmiş ürün yazılımı sağlar. Örneğin, Asus bunu geçen hafta sonu için Apex Rog Crosshair X870E için BIOS güncellemesiyle yaptı. Güncellenmiş AMD Excappulated Yazılım Mimarisi (AGSA) AMD programının kitaplığı, güvenli işlemci AMD'nin APTPM'sindeki veya Ryzen-9000-Desktop cpus'un plüton-TPM'sindeki boşluğu dolduran uygun ürün yazılımı Comboam5 Pi 1.2.0.3e'nin bileşenini içerir. MSI-Motherboard MEG X870E tanrısal için, hatalar düzeltmesi olan yeni bir BIOS vardı, ancak üretici şimdi geri çekildi. Diğer CPU'lar için, Eylül 2024'ten bu yana OEM için, sadece şu anda bilinen güvenlik boşluğunu dolduran ürün yazılımı lekesi olmuştur.
Nisan ayında, güvenlik boşlukları AMD KI-KO işlemcileri bağlamında biliniyordu. Ancak, bu durumda olduğu gibi, CPU'ların en derin ürün yazılımı değil, sürücülerle ilgileniyorlardı.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!