Zespół badań Google Security właśnie opublikował swoje najnowsze badania dotyczące podstawowej wady w systemie weryfikacji łatek mikrokodowych, które wpływają na procesory AMD od pokoleń „Zen 1” do „Zen 4”. Podatność wynika z nieodpowiedniej wdrożenia funkcji skrótu w procesie walidacji podpisu CPU dla aktualizacji mikrokod, umożliwiając atakującym z uprawnieniami lokalnych administratorów (pierścień 0 spoza VM) w celu wstrzykiwania złośliwych łatek mikrokodowych, potencjalnie zagrażającym AMD Sev-SNP poufnym obciążeniom komputerowym oraz dynamiczny pierwiastek systemów pomiaru zaufania. Google ujawnił ten problem o wysokiej rozdzielczości AMD 25 września 2024 r., Co doprowadziło do wydania AMD w embargo na klientów 17 grudnia 2024 r., Z publicznym ujawnieniem po 3 lutego 2025 r.; Jednak ze względu na złożoność zależności łańcucha dostaw i wymagań dotyczących naprawy, kompleksowe szczegóły techniczne są wstrzymywane do 5 marca 2025 r., Umożliwiając organizacjom czas na wdrożenie niezbędnych środków bezpieczeństwa i przywrócenie zaufania do poufnych środowisk obliczeniowych.
AMD opublikowało kompleksowe środki łagodzące za pośrednictwem aktualizacji systemu układowego AgESA w całej ofercie procesora serwera EPYC, od pierwszej generacji Neapolu po najnowsze architektury Genoa-X i Bergamo. Patcha bezpieczeństwa, oznaczona jako CVE-2024-56161 z wysoką oceną nasilenia 7.2, wprowadza krytyczne aktualizacje mikrokodów: Procesory Neapol B2 wymagają wersji 0x08001278, Rome B0 Systemy potrzebują 0x083010107d, podczas gdy Milan i Milan-X warianty mandanowe 0x0A0011DB i 0x0a0012444d, podczas odpowiednio. W przypadku najnowszych systemów opartych na genua, w tym wariantów Genua-X i Bergamo/Siena, wymagane wersje mikrokodowe to 0x0a101154, 0x0a10124f i 0x0AA00219. Aktualizacje te wdrażają solidne zabezpieczenia we wszystkich funkcjach bezpieczeństwa SEV-w tym SEV, SEV-ES i SEV-SNP-jednocześnie wprowadzając nowe ograniczenia dotyczące możliwości ładowania na gorąco z mikrokodami, aby zapobiec przyszłym próbom wykorzystania.
Source link