ニュース

AMD製CPUに複数の脆弱性 ~任意コード実行の恐れ

深刻度はいずれも「High」

同社のセキュリティ情報

 米AMDは2月13日(現地時間)、同社製CPUに複数の脆弱性が存在することを明らかにした。データセンター向けの「EPYC」、デスクトップ・ワークステーション向けの「Ryzen」「Ryzen Threadripper」、モバイル向けの「Athlon」「Ryzen」、組み込み向けの「EPYC Embedded」「Ryzen Embedded」などに影響する。

  • CVE-2023-20576:CPUのファームウェア「AGESA」でデータの真正性検証が不十分で、SPI ROMのデータを書き換えられてしまう可能性がある。サービス拒否(DoS)や特権昇格につながるおそれ
  • CVE-2023-20577:システム管理モード(SMM)モジュールにおけるヒープオーバーフローにより、SPIフラッシュへの書き込みが可能になる。任意コードの実行につながるおそれ
  • CVE-2023-20579:AMD SPI保護機能のアクセス制御が不適切で、Ring0(カーネルモード)特権ユーザーが保護をバイパスできてしまう
  • CVE-2023-20587:SMMでアクセス制御が不適切なため、SPIフラッシュへのアクセスが可能になる。任意コードの実行につながるおそれ

 深刻度はいずれも「High」と評価されている。同社は対策版のファームウェアへ更新するよう呼び掛けている(ただし、一部は未リリース。2024年3月を目標に準備中)。