AMD hat sein Security Bulletin um 31 neue Sicherheitslücken in seinen Prozessoren ergänzt. Der Großteil der Hintertüren betrifft Epyc-Serverchips, aber auch die Ryzen- und Threadripper-Reihen sind von Problemen nicht ausgenommen.
Es gibt also drei Schwachstellen, die verschiedene Consumer-CPUs betreffen: CVE-2021-26316 wurde in die Kategorie “sehr ernst” eingestuft, gefolgt von mittlerer und geringer Bedrohung für CVE-2021-26346 und CVE-2021-46795. In allen Fällen handelt es sich um Bios-Hacks oder einen Angriff über den AMD Secure Processor (ASP) Bootloader. Neben der 2000er Serie für Desktops sind auch Apu’s der 5000er Serie betroffen, sowie Threadripper 2000 und 3000 und verschiedene Laptop-CPU’s der 2000er, 3000er, 5000er und 6000er Linien.
Der Hersteller hat außerdem nicht weniger als 28 Fehler in seinen Epyc-Prozessoren aufgelistet, von denen vier als sehr schwerwiegend eingestuft sind (CVE-2021-26316, CVE-2021-26398, CVE-2021-39298 und CVE-2021-26402). Drei davon können ausgenutzt werden, um bösartigen Code auszuführen, während der letzte zu einem Verlust der Datenintegrität und -verfügbarkeit führen kann. Darüber hinaus wurden 15 weitere Schwachstellen aufgedeckt und als mittelschwere Bedrohung eingestuft, gefolgt von weiteren neun Schwachstellen mit einer niedrigen Schwerebewertung.
AMD hat seinen OEM-Partnern mehrere Agesa-Revisionen zur Verfügung gestellt, um die Lücken zu schließen. Dadurch können diese Unternehmen Bios-Updates veröffentlichen, wobei die Verfügbarkeit je nach Hersteller variiert. Die vollständige Liste der Sicherheitslücken für Verbraucher finden Sie hier, diese Seite listet die Epyc-Fehler auf.