Plus de 30 vulnérabilités trouvées dans les processeurs AMD Ryzen et EPYC

AMD a publié une mise à jour de la bibliothèque AGESA pour les processeurs AMD Ryzen et EPYC, fermant plus de trois douzaines de "trous" dans le micrologiciel UEFI sur un certain nombre de cartes mères. Il est curieux que la société n'ait pas fait d'annonce officielle à ce sujet : la liste des vulnérabilités corrigées a été publiée par des passionnés après son apparition "silencieuse" sur le site officiel.

Trois des 31 vulnérabilités trouvées affectent les processeurs de bureau Ryzen 2000, les familles mobiles Raven Ridge et Cezanne, les modèles des séries Threadripper 2000 et 3000 et le Ryzen 2000 , 3000, 5000, 6000 Pro et ligne Athlon 3000. Selon les notes de mise à jour, les "lacunes" découvertes dans le code permettent de casser le micrologiciel de la carte mère et d'accéder au PC de l'utilisateur.

28 autres problèmes de sécurité ont été trouvés dans les systèmes avec des processeurs de serveur EPYC. Trois d'entre eux permettent l'exécution de code arbitraire sur le PC de la victime, et le quatrième ouvre potentiellement la possibilité d'écrire des informations sur les partitions système. 15 vulnérabilités ont également été mises à niveau vers une menace moyenne.

AMD a découvert les vulnérabilités en collaboration avec Google, Apple et Oracle. Les ingénieurs de la société ont résolu les problèmes détectés et modifié la bibliothèque AGESA. Il est conseillé aux utilisateurs des puces répertoriées dans cette liste de mettre à jour leur micrologiciel UEFI vers la dernière version afin de réduire le risque de piratage du PC.