AMD、2024年8月のセキュリティ情報を公開 ～CPUに10件の脆弱性

同社のセキュリティ情報

　米AMDは8月13日（現地時間）、同社製CPUに複数の脆弱性が存在することを明らかにした。デスクトップ向けの「AMD Ryzen」、ハイエンドデスクトップ向けの「AMD Ryzen Threadripper」、ワークステーション向けの「AMD Ryzen Threadripper PRO」、モバイル向けの「AMD Athlon/Ryzen」などが影響をうける。

• CVE-2022-23815：APCBファームウェアにおける境界チェック不備に起因する境界外の書き込み。任意のコードが実行される可能性（7.5、High）
• CVE-2023-20578：SMMにおけるTOCTOU。任意コードの実行につながるおそれ（7.5、High）
• CVE-2021-26344：AMDのPSP1 Configuration Block（APCB）を処理中に境界外のメモリ書き込み。権限昇格によるBIOSイメージの変更、署名の書き換えが可能となり、APCBブロックを変更して任意のコードが実行される可能性（7.2、High）
• CVE-2022-23817：ASP Secure OSのメモリバッファーの確認不備に起因する特権昇格（7.0、High）
• CVE-2021-26367：x86環境でTrusted Memory Regions（TMRs）を改竄できる（5.7、Medium）
• CVE-2024-21981：AMD Secure Processor（ASP）における不適切なキー管理。機密性と完全性が損なわれる可能性（5.7、Medium）
• CVE-2021-46746：ASP Secure OS Trusted Execution Environment（TEE）がスタック保護メカニズムで守られていない。スタックベースのバッファーオーバーランを引き起こす可能性（5.2、Medium）
• CVE-2021-26387：ASPカーネルのアクセス制御に不備。プラットフォームの整合性が損なわれる可能性（3.9、Low）
• CVE-2021-46772：ABLの入力検証不備。メモリが破損したり、サービス拒否につながるおそれ（3.9）
• CVE-2023-20518：ASPの不完全なクリーンアップにより、BIOSメニューまたはUEFIシェルへのアクセス権限を持つ特権攻撃者にマスター暗号化キー（MEK）がさらされる（1.6、Low）

　どの脆弱性がどの製品に影響するかは、同社のドキュメントを参照のこと。脆弱性を軽減するためのプラットフォーム初期化（PI）ファームウェアがリリースされている場合があるので、OEMがBIOSアップデートを提供している場合は機を見て更新するようにしたい。

　そのほかにも、同社のサーバー製品でも脆弱性情報 が公開されているので注意。