米AMDは11月8日(現地時間)、同社グラフィックス製品向け「AMD Radeon Software」における脆弱性情報を公開した。CVEコードベースで6件あり、脅威度「High」に設定されたものが2件ある。
「Radeon RX 5000 / 6000」「Radeon PRO W5000 / W6000」「Radeon RX Vega」シリーズに影響する脆弱性。ゲーマー向けの「AMD Radeon Software」をバージョン22.5.2まで、プロ向けの「AMD Radeon Pro Software for Enterprise」をバージョン22.Q2まで、エンタープレイズ向け「Enterprise Driver」をバージョン22.10.20までアップデートすることで緩和できるとしている。脆弱性は下記の通り。
- CVE-2020-12930(High):AMD Secure Processor (ASP)ドライバの不適切なパラメータ処理で特権昇格のおそれ
- CVE-2020-12931(High):AMD Secure Processor (ASP)ドライバの不適切なパラメータ処理で特権昇格のおそれ
- CVE-2021-26360(Medium):ローカルアクセスできる攻撃者がレジスタのセキュリティ設定に不正な変更を加えられる。ASPの暗号化されたメモリが破損し、任意のコードが実行されるおそれ
- CVE-2021-26391(Medium):信頼できるアプリーケーションをロードする際、複数のヘッダー署名の検証が不十分だと攻撃者にカーネルでコードを実行できるようになるおそれ
- CVE-2021-26392(Medium):LoadModuleのサイズチェックが不十分で、境界外から書き込まれるおそれ
- CVE-2021-26393(Medium):AMD Secure Processor (ASP) の Trusted Execution Environment (TEE) における不十分なメモリクリーンアップにより、権限を持つ認証済み攻撃者が有効な署名付きTAを生成し、攻撃者が制御するデータでプロセスメモリの内容を汚染する可能性があり、機密性が失われるおそれ