「AMD Radeon」シリーズのグラフィックスドライバーに複数の脆弱性

AMD製グラフィックスドライバーに複数の脆弱性

　米AMDは8月13日（現地時間）、同社製グラフィックスドライバーに関するセキュリティ情報を公開した。以下の9件の脆弱性が修正されている（括弧内は深刻度の評価）。

• CVE-2021-26367：x86環境でTMRs（Trusted Memory Regions）の設定を破壊できる（5.7、Medium）
• CVE-2023-20509：PMFW（電源管理ファームウェア）におけるDRAMアドレスの検証が不十分で、データ整合性が失われる可能性（5.2、Medium）
• CVE-2023-31310：PMFWの入力検証不備で不正なコマンド送信が可能（5.0、Medium）
• CVE-2023-20510：PMFWにおけるDRAMアドレスの検証が不十分で、データ破損やサービス拒否につながる恐れ（4.7、Medium）
• CVE-2023-20513：PMFWにおける境界チェックが不十分で、不正なメッセージ送信によるサービス拒否につながる恐れ（3.4、Low）
• CVE-2023-31304：SMUにおける入力検証が不適切で、特権を持つ攻撃者がPCIeレーン数と速度を変更できる（2.3、Low）
• CVE-2023-31307：PMFWにおける配列インデックスの検証が不十分で、境界外メモリ読み取りが可能（2.3、Low）
• CVE-2023-20512：PMFWにハードコードされたAES鍵が含まれている場合、特権を持つ攻撃者がその鍵にアクセスできる（1.9、Low）
• CVE-2023-31305：PMFWで予測可能な初期化ベクトル（IV）が生成される。情報漏洩の可能性（1.9、Low）

　これらの脆弱性は、「AMD Radeon RX 6000」「AMD Radeon PRO W6000」シリーズなどに影響する。「AMD Radeon RX 7000」「AMD Radeon PRO W7000」シリーズは「CVE-2023-20509」のみ影響する。

　詳しい影響範囲や対処方法については、同社のセキュリティアドバイザリを参照のこと。一般的なユーザーであれば、「AMD Software: Adrenalin Edition」をv23.12.1へアップデートすればよい。