AMD製プロセッサーに複数の脆弱性 ～Athlon、Ryzen、Threadripperなどに影響

同社のサポートページ

　米AMDは1月10日（現地時間）、同社製プロセッサーに複数の脆弱性が発見されたことを明らかにした。さまざまなサードパーティーと協力しながらセキュリティ監査を行った結果、発見されたものだという。

　今回明らかにされた脆弱性は、以下の3件（括弧内は深刻度の評価）。

• CVE-2021-26316：BIOSの通信バッファーと通信サービスの検証に不備があり、攻撃者によりバッファーが改竄され、SMM（System Management Mode）の任意のコードを実行される可能性がある（High）
• CVE-2021-26346：ASP（AMD Secure Processor）ブートローダーの整数オペランド検証に不備があり、攻撃者がSPIフラッシュのL2ディレクトリテーブルで整数オーバーフローを引き起こし、サービス拒否状態に陥らせることができる可能性がある（Medium）
• CVE-2021-46795：「TOCTOU」（time-of-check to time-of-use）脆弱性により、攻撃者が侵害されたBIOSを用いてTEE OSで範囲外のメモリの読み取りを行い、サービス拒否を引き起こす可能性がある（Low）

　どの脆弱性が影響するかはプロセッサー（CPU）のブランドや型番によって異なるが、モバイルに採用されている「Athlon」、デスクトップでよく利用されている「Ryzen」、ワークステーション向けの「Ryzen Threadripper」など、幅広い製品で「AGESA」（同社製CPU向けのファームウェアに相当）のアップデートが行われている。

　新しいバージョンの「AGESA」は、マザーボードベンダーからBIOSのアップデートとして提供される。AMD製のプロセッサーを利用しているユーザーは、ベンダーから対策済みのBIOSが提供されているか確認し、機を見て適用しておきたい。