Werbung
AMD vermeldet vier Sicherheitslücken, die in allen Produktgruppen auftreten können, aber nicht alle Prozessmodelle zugleich betreffen. Allesamt sind die Sicherheitslücken (CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 und CVE-2023-20587) mit dem Schweregrad "Hoch" beschrieben.
Den größten Einfluss dürften die Lücken haben, über die auf den per SPI angebundenen Flashspeicher zugegriffen werden kann. Auch das BIOS wird über diese Schnittstelle beschrieben. Theoretisch könnte ein potentieller Angreifer eigenen Code einschleusen und ausführen.
In der dazugehörigen Ankündigung nennt AMD die einzelnen betroffenen Prozessoren. Bei den EPYC-Prozessoren sind dies alle vier Generationen (Naples, Rome, Milan und Genoa). Die Bergamo-Prozessoren mit Zen-4c-Kernen sind offenbar nicht betroffen. Bei den Ryzen-Prozessoren sind es die Modelle der 3000-, 5000- und 7000-Serie. Auch die Prozessoren der Ryzen-Threadripper-3000- und 5000-Serie finden sich in der Liste wieder.
Auch die Ryzen-Prozessoren für Notebooks der 3000-, 4000-, 5000-, 6000- und 7000-Serie sind zumindest von drei der vier Lücken betroffen. Schlussendlich finden sich auch die Embedded-Modelle der EPYC- und Ryzen-Prozessoren in der 3000-, 7000- und 9000-Serie wieder.
Geschlossen werden können die Lücken über BIOS-Updates, die nun von Mainboard- und Server-Herstellern zur Verfügung gestellt werden müssen. Größtenteils dürfte dies schon geschehen sein, denn in seiner Mitteilung nennt AMD die notwendigen Combo-Versionen, welche die Fehler bereits beseitigen. Im Falle der Desktop-Prozessoren für den Sockel AM4 wäre diese das Combo-Update 1.2.0.B/C, bei den AM5-Prozessoren die Version 1.0.8.0. Aktuell liefern die Mainboardhersteller eben diese 1.2.0 für AM4 und 1.1.0.2 für AM5 aus. Mit einem aktuellen BIOS ist man hier also bereits auf der sicheren Seite.