AMD, 2023’ü başlatmak için Ryzen ve EPYC CPU hatlarını etkileyen 31 yeni güvenlik açığıyla karşılaştı
Şirket, maruz kalan işlemcileri hafifletmek için çok sayıda hafifletme yöntemi oluşturdu ve ayrıca en iyi üç şirketten (Apple, Google ve Oracle) ekiplerle işbirliği içinde şirketten bir rapor yayınladı. Şirket ayrıca güncellemede listelenen birkaç AGESA varyantını da duyurdu (AGESA kodu, sistemin BIOS’u ve UEFI kodunu oluştururken bulunur).
Güvenlik açığının doğası gereği, AGESA değişiklikleri OEM’lere teslim edilmiştir ve herhangi bir yama yapılması, her bir satıcının en kısa sürede yayınlamasına bağlı olacaktır. Tüketicilerin, şirketin daha sonra yayınlamasını beklemek yerine indirilmeyi bekleyen yeni bir güncelleme olup olmadığını öğrenmek için satıcının resmi web sitesini ziyaret etmesi akıllıca olacaktır.
Bu yeni saldırıya karşı savunmasız olan AMD İşlemciler, masaüstü bilgisayarlar için Ryzen modelleri, HEDT, Pro ve mobil CPU serilerini içerir. “Yüksek önem” olarak etiketlenmiş tek bir güvenlik açığı varken, diğer ikisi daha az aşırı ancak yama yapılması yine de önemli. Tüm ifşalar, BIOS ve ASP önyükleyici (AMD Güvenli İşlemci önyükleyici olarak da bilinir) aracılığıyla saldırıya uğrar.
Güvenlik açığı bulunan AMD CPU serileri şunlardır:
- Ryzen 2000 (Pinnacle Ridge) serisi işlemciler
- Ryzen 2000 APU’lar
- Ryzen 5000 APU’lar
- AMD Threadripper 2000 HEDT ve Pro sunucu işlemci serisi
- AMD Threadripper 3000 HEDT ve Pro sunucu işlemci serisi
- Ryzen 2000 serisi mobil işlemciler
- Ryzen 3000 serisi mobil işlemciler
- Ryzen 5000 serisi mobil işlemciler
- Ryzen 6000 serisi mobil işlemciler
- Athlon 3000 serisi mobil işlemciler
EPYC işlemcileri etkileyen yirmi sekiz AMD güvenlik açığı keşfedildi ve dört model şirket tarafından “yüksek önem” olarak etiketlendi. Yüksek önem dereceli üçü, çok sayıda alanda saldırı vektörleri aracılığıyla yürütülebilen keyfi koda sahip olabilir. Ayrıca, listelenen üçünden biri, veri kaybına yol açan belirli bölümlere veri yazılmasına izin veren ek bir istismara sahiptir. Diğer araştırma ekipleri, daha düşük önem derecesine sahip on beş ve daha az önem derecesine sahip dokuz güvenlik açığı daha buldu.
İstismar edilen çok sayıda etkilenen işlemci nedeniyle şirket, genellikle her yıl Mayıs ve Kasım aylarında yayınlanacak olan bu son güvenlik açığı listesini açıklamayı ve hafifletme önlemlerinin sürüm için hazırlandığından emin olmayı seçti. AMD ürünlerindeki diğer güvenlik açıkları arasında Hertzbleed’in bir çeşidi, Meltdown istismarına benzer şekilde davranan bir diğeri ve “Take A Way” adlı bir güvenlik açığı yer alır.
Bir önceki yazımız olan PS5 Güncellemesi DualSense Edge Desteği getiriyor başlıklı makalemizi de okumanızı öneririz.
