Если вы являетесь пользователем процессоров AMD Ryzen последних нескольких лет, то вам следует поскорее проверить и обновить прошивку своей материнской платы, в особенности если вы этого еще не делали с 2023 года. Компания AMD опубликовала подробную таблицу, которая описывает четыре серьезные проблемы безопасности, затрагивающие различные типы процессоров Zen, включая серверные, настольные, рабочие станции, мобильные и встроенные процессоры. Установка последних обновлений BIOS может устранить большинство уязвимостей, но не все.
Все четыре уязвимости, признанные AMD, являются высокосерьезными. В таблице ниже указана минимальная версия AGESA, необходимая для устранения всех проблем для каждого поколения процессоров Zen. Более подробную информацию о том, какие проблемы затрагивают каждый процессор, можно найти в бюллетене компании по безопасности.
Одна из уязвимостей, обозначенная как CVE-2023-20576, может позволить злоумышленникам инициировать атаки типа "отказ в обслуживании" или повышать привилегии из-за недостаточной проверки подлинности данных в BIOS.
Две другие уязвимости с номерами CVE-2023-20577 и CVE-2023-20587 могут разрешать выполнение произвольного кода, предоставляя доступ к флэш-памяти SPI через режим управления системой. Еще одна уязвимость, получившая название CVE-2023-20579, может привести к потере целостности и доступности из-за неправильного контроля доступа в функции защиты SPI AMD.
Если у вас есть настольные процессоры Ryzen серии 3000, мобильные APU серии 4000, встроенные чипы V2000 или системы V3000, вам следует быть особенно бдительными в течение следующих нескольких месяцев, так как не все проблемы, затрагивающие эти поколения процессоров, были исправлены. Обновление, запланированное на конец этого месяца, устранит уязвимости для APU серии 4000, а в марте 2024 года состоится обновление BIOS для процессоров серии 3000. Исправления для затронутых встраиваемых продуктов будут доступны в апреле.
Все остальные процессоры Zen получили соответствующие обновления в период с середины 2023 года по начало этого месяца. Обновление, которое смягчило прошлогоднюю атаку Zenbleed для процессоров Epyc второго поколения, также защищает от новых уязвимостей.
