Processori AMD vulnerabili: in arrivo le soluzioni del costruttore di chip

Le 13 vulnerabilità delle CPU AMD presentate da CTS-Labs la scorsa settimana saranno risolvibili mediante patch integrate in BIOS e firmware in arrivo.

AMD ha fatto sapere che le 13 vulnerabilità presentate da CTS-Labs la scorsa settimana saranno risolvibili mediante patch integrate in nuovi BIOS e firmware in arrivo.

Come abbiamo spiegato qui, la società israeliana CTS-Labs ha pubblicato – senza avvisare in anticipo AMD (come da prassi consolidate nel settore) – i risultati di una ricerca che ha portato alla scoperta di diverse falle di sicurezza nei processori delle famiglie EPYC, Ryzen, Ryzen Pro e Ryzen Mobile prodotti da AMD. Si tratta di CPU usate sia in ambito server, sia in PC fissi, desktop, piattaforme embedded e dispositivi mobili.

Le vulnerabilità sono identificate collettivamente come “AMDFlaws” e – teoricamente – consentono a un attaccante di ottenere accesso a dati sensibili, l’installazione di malware e il pieno controllo della macchina “compromessa”.

CTS-Labs ha sollevato un polverone e gli esperti di sicurezza hanno criticato la pubblicazione delle falle senza l’attesa di un tempo congruo (tipicamente 90 giorni) per dare al produttore la possibilità di analizzare la problematica e rilasciare eventuali fix. Gli exploit sono ad ogni modo di difficile realizzazione e richiedono l’accesso in locale sulla macchina con privilegi elevati.

processori amd vulnerabili

AMD ha ad ogni modo spiegato che problematiche evidenziate sono tutte risolvibili con patch e misure di contenimento che è possibile apportare mediante aggiornamenti dei firmware e del BIOS delle schede madri. Il produttore fa sapere che aggiornamenti specifici verranno messi a disposizione nelle prossime settimane e che non avranno impatto sulle CPU in termini di prestazioni.

Le criticità che possono consentire esecuzione di codice arbitrario e permettere accesso ad aree privilegiate sono legate all’architettura Zen dei processori Ryzen ed EPYC, riconducibili all’embeded security processor (AMD Secure Processor) integrato nelle CPU e ai chipset sviluppati da ASMedia.  Le problematiche in questione non sono in alcun modo legate a Meltdown e Spectre.