ニュース

AMD製CPUのファームウェア「AGESA」にOSも防御不能な脆弱性 ~任意のコードが実行される恐れ

2016年から2019年の間に発売された一部製品に影響

AMDの声明

 米AMDは6月17日(現地時間)、同社製CPU向けのファームウェア「AMD Generic Encapsulated Software Architecture」(AGESA)に脆弱性(CVE-2020-12890)が存在することを明らかにした。この攻撃は“SMM Callout Privilege Escalation”と呼ばれており、攻撃者は「AGESA」を操作してOSに検知されることなく任意のコードを実行できる。

 本脆弱性はセキュリティ研究者のDanny Odler氏によって報告されたもので、UEFIイメージの一部である“System Management Mode”(SSM、Ring -2)コードに存在する。これはx86 CPUで実行可能なもっとも特権的なコードで、カーネルやハイパーバイザーを含むあらゆる低レベルのコンポーネントを攻撃できるという。この攻撃に対しては、OSのセキュリティ機構も役には立たない。

 AMDによると、この脆弱性は2016年から2019年の間に発売された特定のクライアントおよび組み込みAPUプロセッサーにのみ影響する。修正版の「AGESA」は大半のマザーボードメーカーに納品済みで、残りも6月までに納品が完了するとのこと。マザーボードやハードウェアのメーカーからのアナウンスに注意し、対策パッチが提供されたらできるだけ早く適用するようにしたい。