AMD Jumatatu ilitangaza viraka kwa udhabiti wa microprocessor ambayo inaweza kusababisha upotezaji wa ulinzi salama wa maandishi (SEV), ikiruhusu washambuliaji kupakia microcode mbaya. Kufuatiliwa kama CVE-2024-56161 (alama ya CVSS ya 7.2), mdudu huelezewa kama uthibitisho usiofaa wa saini katika mzigo wa kiraka cha microcode kwenye kumbukumbu ya AMD CPU tu. Kasoro ya usalama “inaweza kumruhusu mshambuliaji na upendeleo wa msimamizi wa eneo hilo kupakia microcode mbaya ya CPU kusababisha upotezaji wa usiri na uadilifu wa mgeni wa siri anayeendesha chini ya AMD SEV-SNP,” AMD inaelezea katika ushauri wake. Kwa kuzingatia kwamba microcode kawaida hupakiwa kwenye boot, kupakia microcode mbaya inaweza kuwaruhusu washambuliaji kugongana na utendaji wa CPU. AMD ilizindua kuzuia kuzuia upakiaji wa microcode mbaya, na kuonya kwamba msaada wa uthibitisho wa SEV-SNP unahitaji sasisho la firmware ya SEV kwenye majukwaa kadhaa. “Kusasisha picha ya BIOS ya mfumo na kuunda tena jukwaa itawezesha ushuhuda wa kukabiliana. Mgeni wa siri anaweza kuthibitisha kukabiliana na kuwezeshwa kwenye jukwaa la lengo kupitia ripoti ya ushuhuda wa SEV-SNP, “AMD anafafanua. Mtengenezaji wa chip ametoa sasisho za programu ya AGESA (AMD generic encapsated) kwa watengenezaji wa OEM kushughulikia dosari, na kila OEM inapaswa kutolewa sasisho za BIOS kwa watumiaji wake. Upepo wa udhaifu huo ulikamatwa wiki iliyopita, baada ya mtengenezaji wa PC Asus kutaja urekebishaji huo katika maelezo ya kutolewa kwa sasisho la beta BIOS kwa baadhi ya bodi zake za mama, ikielezea kama suala la uthibitisho wa saini ya microcode. Matangazo. Tembeza kuendelea kusoma. Watafiti wa usalama wa Google, ambao walipewa sifa ya kuripoti udhaifu huo, wanaelezea kuwa mdudu anaweza kutumiwa na mshambuliaji na ufikiaji wa mizizi kutoka nje ya mashine ya kupakia viraka vibaya vya microcode. “Udhaifu ni kwamba CPU hutumia kazi ya kutokuwa na usalama katika uthibitisho wa saini kwa sasisho za microcode. Ugumu huu unaweza kutumiwa na adui ili kuathiri kazi za siri za kompyuta zilizolindwa na toleo jipya zaidi la AMD salama iliyosimbwa, SEV-SNP au kuathiri mizizi yenye nguvu ya kipimo cha uaminifu, “watafiti wanasema. Suala hilo liliripotiwa kwa AMD mnamo Septemba na mtengenezaji wa chip alituma marekebisho hayo kwa Washirika wa OEM mnamo Desemba, takriban siku 45 kabla ya kufichuliwa na umma. Watafiti wa Google, ambao waliratibu na AMD kwa kufichuliwa na umma, watashiriki maelezo zaidi juu ya mdudu mapema Machi. Siku ya Jumatatu, AMD pia ilitangaza kwamba imepokea ripoti kutoka kwa wasomi wa Chuo Kikuu cha Taiwan juu ya shambulio la kache-msingi dhidi ya SEV, wakipendekeza kwamba watengenezaji wa programu huajiri mazoea bora ya usalama na kufuata mwongozo wa umma juu ya shambulio la aina ya Specre ili kupunguza maswala hayo. Kuhusiana: Mashambulio mapya na FLOP CPU yanaonyesha data kutoka kwa kompyuta za Apple, simu zinazohusiana: Jukwaa la Intel Core Ultra VPRO linaleta huduma mpya zinazohusiana: dosari katika Accuisegege Watumiaji wa Watumiaji kwa Mashambulio ya mbali yanayohusiana: Mitandao ya mseto ni ukweli wa biashara – na usalama mwingi unaweza Kuweka URL ya asili ya posta: https://www.securityweek.com/amd-patches-cpu-vulnerability-found-by-google/category & vitambulisho: Usalama wa mwisho, AMD, Ugumu wa CPU-Usalama wa Endpoint, AMD, CPU mazingira magumu
Leave a Reply