米AMDは1月10日(現地時間)、同社が展開する各種プロセッサ製品において脆弱性があると明らかにした。CVEベースで3件報告されており、RyzenやThreadripper、Athlonに幅広く影響する。

  • AMD Ryzen / Athlon / Threadripperに脆弱性 今後UEFIアップデートで解消?

AMD Ryzen 2000~5000シリーズ、Threadripper / Threadripper PRO、Athlonシリーズに脆弱性が存在するという内容。プロセッサの種類によって影響する脆弱性が異なっており、報告ページでは脆弱性を含むUEFI(AGESA)のナンバーについても案内中。見つかった脆弱性は下記の通り。

  • CVE‑2021‑26316:BIOSの通信バッファとサービスに検証に問題があり、攻撃者の改ざんを受けてSMM (System Management Mode)で任意のコードを受ける潜在的な危険がある
  • CVE‑2021‑26346:ASP (AMD Secure Processor)ブートローダーを適切に検証できなかった場合、攻撃者がSPIフラッシュのL2ディレクトリテーブルにアクセスできてしまう潜在的な危険
  • CVE‑2021‑46795:TOCTOU (time-of-check to time-of-use)に脆弱性があり、攻撃者が細工したBIOSを使用して境界外のメモリを参照してサービス拒否を引き起こしてしまう潜在的な危険