AMD a discrètement divulgué 31 nouvelles vulnérabilités de processeur dans une mise à jour de janvier, couvrant ses puces Ryzen pour les consommateurs et les processeurs du centre de données EPYC. La mise à jour de la vulnérabilité comprend également une liste des versions AGESA, avec des atténuations pour les processeurs concernés. AMD a révélé les vulnérabilités dans une divulgation coordonnée avec plusieurs chercheurs, y compris des équipes de Google, Apple et Oracle, ce qui a donné à l’entreprise le temps de développer des atténuations avant les cotations publiques. Cependant, AMD n’a pas annoncé les vulnérabilités avec un communiqué de presse ou une autre communication – il a simplement publié les listes – nous travaillons donc pour démêler les détails et nous mettrons à jour lorsque nous aurons plus d’informations.
AMD a répertorié les différentes révisions AGESA qu’il a fournies à ses OEM pour corriger les vulnérabilités (le code AGESA est utilisé pour créer le code BIOS/UEFI). Cependant, la disponibilité de nouveaux correctifs BIOS avec le nouveau code AGESA variera selon le fournisseur. Cela signifie que vous devrez vérifier auprès de votre fournisseur de carte mère ou de système pour voir s’il a publié de nouvelles révisions du BIOS avec le code AGESA correct.
AMD nous dit qu’il publie généralement ses divulgations de vulnérabilités deux fois par an, en mai et en novembre, mais a choisi d’en publier certaines en janvier en raison du nombre relativement important de nouvelles vulnérabilités et du calendrier des atténuations. Il n’est pas encore clair s’il y aura des pénalités de performance comme nous l’avons vu avec d’autres atténuations, comme Spectre et Meltdown.
Comme nous l’avons vu parfois avec des systèmes plus anciens, certains peuvent ne pas être mis à jour. Il semble également que certains modèles impactés n’aient pas encore de mesures d’atténuation.
Les vulnérabilités incluent trois nouvelles variantes pour les PC de bureau Ryzen grand public, les processeurs HEDT, Pro et Mobile. L’une des vulnérabilités est classée comme étant de gravité élevée, tandis que les deux autres sont classées comme étant de gravité moyenne ou faible. Ces vulnérabilités peuvent être exploitées via des hacks du BIOS ou une attaque sur le chargeur de démarrage AMD Secure Processor (ASP).
Les vulnérabilités couvrent les puces de bureau Pinnacle Ridge de la série Ryzen 2000, ainsi que les gammes de produits APU des séries 2000 et 5000 qui sont livrées avec des graphiques intégrés (Raven Ridge, Cezanne). En outre, les processeurs HEDT et Pro Threadripper des séries 2000 et 3000 d’AMD sont également concernés, ainsi que de nombreux processeurs mobiles Ryzen des séries 2000, 3000, 5000, 6000 et Athlon 3000.
AMD a également répertorié 28 vulnérabilités pour ses processeurs EPYC, dont quatre sont de gravité élevée. Trois des variantes à haute gravité permettent l’exécution de code arbitraire via divers vecteurs d’attaque, tandis qu’une permet d’écrire des données dans certaines régions, ce qui peut entraîner une perte d’intégrité et de disponibilité des données. Les chercheurs ont également découvert 15 autres vulnérabilités classées comme étant de gravité moyenne et neuf vulnérabilités de faible gravité.
Les puces d’AMD sont connues depuis longtemps pour avoir moins de vulnérabilités connues que les modèles d’Intel. Cependant, il est difficile de déterminer si les découvertes initialement limitées dans les processeurs AMD étaient dues à une approche axée sur la sécurité de la conception renforcée des processeurs, ou si les chercheurs et les attaquants se sont simplement concentrés sur les processeurs d’Intel en raison de leur part de marché dominante : les attaquants se concentrent presque toujours sur le section la plus large possible.
En tant que tel, le récent succès d’AMD à récupérer des parts de marché d’Intel, en particulier sur le marché des centres de données axés sur la sécurité, incitera les chercheurs à se tourner davantage vers les architectures d’AMD à la recherche de failles de sécurité potentielles. AMD a également eu plusieurs autres nouvelles divulgations de vulnérabilités dans un passé récent, y compris une variante Meltdown-esque qui nécessite un recodage logiciel, ainsi que Hertzbleed et Take A Way.
Nous suivons AMD concernant plusieurs des listes, car il semble que certains processeurs n’aient pas encore d’atténuation. En outre, nous souhaitons en savoir plus sur les éventuelles pénalités de performance.