شرکت AMD اعلام کرد نقص های امنیتی که هفته ی گذشته در برخی از پردازنده های آن توسط محققان آزمایشگاه CTS کشف شده اند، در روزهای آینده برطرف خواهند شد. هفته ی گذشته و در روز ۱۲ مارس، محققان امنیتی آزمایشگاه CTS، سیزده آسیب پذیری حیاتی را در برخی از محصولات AMD، از جمله پردازنده ی امن AMD یا ثابت افزار PSP، که پردازنده ی کنترل امنیتی تعبیه شده را مدیریت می کند و همچنین تراشه های «Promontory» که در چندین سوکت AM4 و بستر دسکتاپ TR4 استفاده می شود، به طور عمومی افشاء کردند.
نقصهای پردازنده که در چهار گروه MasterKey ،RyzenFall ،Fallout و Chimera طبقهبندی میشوند، به مهاجمان اجازه میدهند تا کنترلهای امنیتی آنها را دور زده و بدافزاری که شناسایی آن دشوار است را درSMM (x86) نصب کنند و یا به حافظهی فیزیکی رایانه از طریق تراشه دسترسی پیدا کنند. با این حال، AMD میگوید که تمام این آسیبپذیریها به امتیازات مدیریتی نیاز دارند، به این معنی که این آسیبپذیریها تاثیرات محدودی دارند.
معاون ارشد فناوری AMD گفت: «باید توجه داشته باشیم که تمام مسائل مطرح شده در این تحقیق، به دسترسی مدیریتی به سیستم نیاز دارند که این نوع از دسترسی، دسترسی نامحدود به سیستم را برای کاربر ممکن ساخته و حق حذف، ایجاد و یا تغییر هر یک از پوشهها یا فایلها و همچنین تغییر تنظیمات را به او میدهد.»
در میان پردازندههای آسیبدیده، میتوان اشاره کرد که سری AMD Ryzen ،AMD Ryzen Pro و AMD Ryzen Mobile با آسیبپذیری RyzenFall، سری AMD Ryzen و AMD Epyc با آسیبپذیری MasterKey، و سری AMD Ryzen و Ryzen Pro که از تراشهی «Promonotory» استفاده میکنند، با آسیبپذیری Chimera تحت تاثیر قرار گرفتهاند و تنها تراشههای AMD Epyc تحت تاثیر آسیبپذیری Fallout قرار دارند.
بیش از یک هفته طول کشید تا AMD به گزارش آزمایشگاه CTS پاسخ دهد. اما با وجود این، AMD وعده داده است که تمام این نقصهای پردازنده را ظرف تنها چند روز و با انتشار بهروزرسانی BIOS برطرف کند، بنابراین به کاربران تحت تاثیر قرار گرفته توصیه میشود که BIOS سیستمهای خود را در اسرع وقت بهروز کنند.
این شرکت همچنین به این واقعیت اشاره کرد که این آسیبپذیریهای تازه منتشر شده، به آسیبپذیریهای امنیتی Meltdown و Spectre که اوایل سال جاری توسط محققان امنیتی پروژهی صفر گوگل و دانشگاههای مختلف کشف شدند، ارتباطی ندارند. AMD به کاربران اطمینان داده است که وصلههای این آسیبپذیریها، عملکرد سیستمهای آنها را تحت تاثیر قرار نخواهد داد.
