Advanced Micro Devices (AMD)は3月13日(米国時間)、「The View from Our Corner of The Street|Advanced Micro Devices」において、同社のプロセッサに複数の脆弱性が存在すると報告を受けたと伝えた。報告を受けた脆弱性に関しては調査中としており、マイクロコードのアップデートといった対応は今のところ実施されていない。
CTS Labsは「Severe Security Advisory on AMD Processors」においてセキュリティ脆弱性情報を公開しているほか、「Severe Security Advisory on AMD Processors [PDF]」においてまとまった説明を行っている。説明によれば、AMD RyzenやAMD EPYCなどのプロダクトラインに13の深刻な脆弱性およびメーカバックドアが存在するとしている。
脆弱性はRyzenfall、Masterkey、Fallout、Chimeraの4種類に分類することができ、悪用された場合は次のような悪意のある行為が可能になるとしている。
- RyzenおよびEPYCセキュアプロセッサの制御権乗っ取り
- RYzenチップセットの制御権乗っ取り
- AMDチップセットへマルウェアの感染
- 機密情報などの窃取
- 事実上すべてのセキュリティソリューションを回避
- ハードウェアへの物理ダメージ
脆弱性を悪用するためのPoCコードなどは提供されておらず、また、攻撃方法の詳細なども公開されていない。MeltdownおよびSpectreといったプロセッサの脆弱性が広く知られるようになってから、プロセッサの脆弱性の発見が流行になっている。該当するプロセッサを利用している場合、AMDからの情報提供を待つとともに、アップデートが提供された場合は必要に応じて適用することが望まれる。