AMD製CPUに複数の脆弱性 ～任意コード実行の恐れ

同社のセキュリティ情報

　米AMDは2月13日（現地時間）、同社製CPUに複数の脆弱性が存在することを明らかにした。データセンター向けの「EPYC」、デスクトップ・ワークステーション向けの「Ryzen」「Ryzen Threadripper」、モバイル向けの「Athlon」「Ryzen」、組み込み向けの「EPYC Embedded」「Ryzen Embedded」などに影響する。

• CVE-2023-20576：CPUのファームウェア「AGESA」でデータの真正性検証が不十分で、SPI ROMのデータを書き換えられてしまう可能性がある。サービス拒否（DoS）や特権昇格につながるおそれ
• CVE-2023-20577：システム管理モード（SMM）モジュールにおけるヒープオーバーフローにより、SPIフラッシュへの書き込みが可能になる。任意コードの実行につながるおそれ
• CVE-2023-20579：AMD SPI保護機能のアクセス制御が不適切で、Ring0（カーネルモード）特権ユーザーが保護をバイパスできてしまう
• CVE-2023-20587：SMMでアクセス制御が不適切なため、SPIフラッシュへのアクセスが可能になる。任意コードの実行につながるおそれ

　深刻度はいずれも「High」と評価されている。同社は対策版のファームウェアへ更新するよう呼び掛けている（ただし、一部は未リリース。2024年3月を目標に準備中）。