ニュース

AMDが大量のセキュリティアドバイザリを公開～RyzenやEPYC、Radeonも対象

BIOSやソフトウェアのアップデートを

樽井秀人

2025年2月17日 16:20

同社のセキュリティ情報

　米AMDは2月11日（現地時間）、自社製品に関するセキュリティアドバイザリを公開した。その数は11件にのぼる。

AMD-SB-7027：AMD SMM Vulnerabilities

　「AMD SMM」（システム管理モード）では、2件の任意コード実行の問題が解決された（CVE-2024-0179, CVE-2024-21925）。CVSSの基本値は「8.2」（High）。

⇨AMD SMM Vulnerabilities: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7027.html

AMD-SB-6008：AMD Graphics Driver Vulnerabilities

　「Radeon」グラフィックスドライバーで修正された脆弱性も2件（CVE-2024-21971, CVE-2023-20508）。CVSSの基本値は最高で「5.5」（Medium）。外部からWindowsをクラッシュさせられるなどの影響がある。

⇨AMD Graphics Driver Vulnerabilities – February 2025: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-6008.html

AMD-SB-6016：AMD GPU Security Vulnerabilities

　「AMD Instinct MI300X」アクセラレーターの「Satellite Management Controller」（SMC）で、サーバーやネットワークなどを管理する「Redfish」APIコマンドを使用した際の内部監査/侵入テストを行ったところ、潜在的なセキュリティ脆弱性が発見された（CVE-2024-21936, CVE-2024-21927, CVE-2024-21935）。

　サービス拒否やデータ破損を引き起こす可能性があるとして、アップデートと緩和策が提供されている。CVSSの基本値は最高で「7.7」（High）。

⇨AMD GPU Security Vulnerabilities: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-6016.html

AMD-SB-7028：AMD SMM Callout Vulnerability

　セキュリティベンダーEclypsiumによると、複数のAMD製プロセッサーでサポートされている「AmdPlatformRasSspSmm」ドライバーには「AMD SMM」コールアウトの脆弱性（CVE-2024-21924）があるとのこと。システム管理モード内で任意のコードを実行できる可能性があると指摘している。

　AMDによる分析でもそれが認められ、緩和策がリリースされている。CVSSの基本値は「8.2」（High）。

⇨AMD SMM Callout Vulnerability: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7028.html

AMD-SB-5004：AMD Embedded Processors Vulnerabilities

　同社の組み込みプロセッサー「Ryzen Embedded」シリーズでも、大量の脆弱性が修正されている。CVSSの基本値は最高で「7.5」（High）。修正された脆弱性は以下の通り。

CVE-2023-31342
CVE-2023-31343
CVE-2023-31345
CVE-2023-31352
CVE-2023-20515
CVE-2023-20582
CVE-2023-31356
CVE-2023-31331
CVE-2023-20581
CVE-2023-20507

⇨AMD Embedded Processors Vulnerabilities – February 2025: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-5004.html

AMD-SB-9008：AMD DASH CLI Incorrect Default Permissions Vulnerability

　「Desktop and mobile Architecture for System Hardware」（DASH）は、デスクトップおよびモバイルのクライアントシステムのための管理標準。AMDは「DASH」のコマンドラインインターフェイス（CLI）を提供しているが、インストールフォルダーのパーミッションが適切に設定されていない問題があるという（CVE-2024-21968）。CVSSの基本値は「7.3」（High）

　この脆弱性は、v6.0.0.2117およびそれ以降のバージョンで解決済みだ。

⇨AMD DASH CLI Incorrect Default Permissions Vulnerability: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-9008.html

AMD-SB-4008：AMD Client Processor Vulnerabilities

　同社のデスクトップ向け「Ryzen」プロセッサーでは、以下の脆弱性が修正された。CVSSの基本値は最高で「7.5」（High）。

　修正版のファームウェアは、OEMに提供される。マザーボードメーカーなどから案内があれば、できるだけ早めに対応したい。

⇨AMD Client Processor Vulnerabilities – February 2025: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-4008.html

AMD-SB-9010：AMD Ryzen Master Utility DLL Hijacking Vulnerability

　「AMD Ryzen Master Utility」は、「Ryzen」プロセッサーや統合「Radeon」グラフィックスのパフォーマンスをリアルタイムに制御できるツール。クロックや電圧を自在に変更し、アプリケーションや用途に応じてパフォーマンス、電力消費、安定性のバランスを調整できる。

　旧バージョンにはDLLハイジャックの脆弱性（CVE-2024-21966）があり、攻撃者による権限昇格と任意コードの実行の危険があったが、v2.14.0.3205以降へのアップデートで解決される。

⇨AMD Ryzen™ Master Utility DLL Hijacking Vulnerability: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-9010.html

AMD-SB-9012：AIM-T Manageability Service Vulnerabilities

　「AMD Integrated Management Technology」（AIM-T）は、「AMD PRO」デバイスで「DASH」が利用できるようにする技術で、Windows環境でワイヤレス管理をサポートするための「Manageability Service」（AMS）などが含まれている。

　しかし、この「AIM-T Manageability Service」にはインストールの際にデフォルト権限が正しく設定されない脆弱性（CVE-2023-31360）があるという。また、DLLハイジャックの脆弱性（CVE-2023-31361）も報告されており、特権昇格や任意コード実行につながる恐れがある。

　CVSSの基本値はいずれも「7.3」（High）。v4.0.0.722およびそれ以降のバージョンへアップデートすれば解決される。