AMD ha fatto sapere che le 13 vulnerabilità presentate da CTS-Labs la scorsa settimana saranno risolvibili mediante patch integrate in nuovi BIOS e firmware in arrivo.
Come abbiamo spiegato qui, la società israeliana CTS-Labs ha pubblicato – senza avvisare in anticipo AMD (come da prassi consolidate nel settore) – i risultati di una ricerca che ha portato alla scoperta di diverse falle di sicurezza nei processori delle famiglie EPYC, Ryzen, Ryzen Pro e Ryzen Mobile prodotti da AMD. Si tratta di CPU usate sia in ambito server, sia in PC fissi, desktop, piattaforme embedded e dispositivi mobili.
Le vulnerabilità sono identificate collettivamente come “AMDFlaws” e – teoricamente – consentono a un attaccante di ottenere accesso a dati sensibili, l’installazione di malware e il pieno controllo della macchina “compromessa”.
CTS-Labs ha sollevato un polverone e gli esperti di sicurezza hanno criticato la pubblicazione delle falle senza l’attesa di un tempo congruo (tipicamente 90 giorni) per dare al produttore la possibilità di analizzare la problematica e rilasciare eventuali fix. Gli exploit sono ad ogni modo di difficile realizzazione e richiedono l’accesso in locale sulla macchina con privilegi elevati.
AMD ha ad ogni modo spiegato che problematiche evidenziate sono tutte risolvibili con patch e misure di contenimento che è possibile apportare mediante aggiornamenti dei firmware e del BIOS delle schede madri. Il produttore fa sapere che aggiornamenti specifici verranno messi a disposizione nelle prossime settimane e che non avranno impatto sulle CPU in termini di prestazioni.
Le criticità che possono consentire esecuzione di codice arbitrario e permettere accesso ad aree privilegiate sono legate all’architettura Zen dei processori Ryzen ed EPYC, riconducibili all’embeded security processor (AMD Secure Processor) integrato nelle CPU e ai chipset sviluppati da ASMedia. Le problematiche in questione non sono in alcun modo legate a Meltdown e Spectre.