Feb 04, 2025ravie Lakshmananvulnerability / vifaa vya usalama wa vifaa vya usalama vimefunuliwa katika uvumbuzi salama wa AMD (SEV) ambao unaweza kumruhusu mshambuliaji kupakia microcode mbaya ya CPU chini ya hali maalum. Kosa, iliyofuatiliwa kama CVE-2024-56161, hubeba alama ya CVSS ya 7.2 kati ya 10.0, inayoonyesha ukali mkubwa. “Uthibitishaji usiofaa wa saini katika AMD CPU ROM microcode Patch Loader inaweza kumruhusu mshambuliaji na haki ya msimamizi wa kupakia microcode mbaya ya CPU kusababisha upotezaji wa usiri na uadilifu wa mgeni wa siri anayeendesha chini ya AMD SEV-SNP,” AMD alisema katika ushauri. Chipmaker alidai watafiti wa usalama wa Google Josh Eads, Kristoffer Janke, Eduardo Vela, Tavis Ormandy, na Matteo Rizzo kwa kugundua na kuripoti dosari mnamo Septemba 25, 2024. Sev ni sehemu ya usalama ambayo hutumia ufunguo wa kipekee kwa mashine ya kawaida ya kutengenezea mashine za kawaida (VMS) na hypervisor kutoka kwa mwingine. SNP, ambayo inasimama kwa usalama wa viota salama, inajumuisha kinga za uadilifu wa kumbukumbu ili kuunda mazingira ya utekelezaji ya pekee na kulinda dhidi ya mashambulio ya msingi wa hypervisor. “Sev-SNP inaleta nyongeza kadhaa za usalama za hiari iliyoundwa ili kusaidia mifano ya matumizi ya VM, kutoa ulinzi mkubwa karibu na tabia ya kuingiliana, na kutoa ulinzi ulioongezeka dhidi ya shambulio la kituo kilichofunuliwa hivi karibuni,” kulingana na AMD. Katika taarifa tofauti, Google ilibaini kuwa CVE-2024-56161 ni matokeo ya kazi ya hash ya kutokuwa na usalama katika uthibitisho wa saini kwa sasisho za microcode, ambayo inafungua mlango wa hali ambayo adui anaweza kuathiri mzigo wa kompyuta wa siri. Kampuni pia imetoa malipo ya mtihani ili kuonyesha hatari hiyo, lakini maelezo ya ziada ya kiufundi yamezuiliwa kwa mwezi mwingine ili kutoa muda wa kutosha wa kurekebisha kuenezwa katika “mnyororo wa usambazaji wa kina.” Je! Nakala hii inavutia? Tufuate kwenye Twitter na LinkedIn kusoma yaliyomo kipekee tunayotuma.
Leave a Reply