AMD werkt aan BIOS-updates voor beveiligingsgaten in AMD-chips

pixabay-hacker-1944688_960_720

Chipfabrikant AMD bevestigt dat AMD Security Processor (PSP) en EPYC- en RYZEN-chipsets van het bedrijf kwetsbaarheden bevatten. Het bedrijf werkt aan BIOS-updates om deze beveiligingsproblemen te verhelpen.

De kwetsbaarheden in chips van AMD werden op 13 maart bekend gemaakt door CTS-Labs. AMD werd slechts 24 uur van te voren op de hoogte gesteld door het beveiligingsbedrijf, terwijl onderzoekers bedrijven doorgaans 90 dagen de tijd geven om beveiligingsproblemen op te lossen voordat zij tot publicatie van technische details overgaan.

'Problemen zitten in de firmware'

"De beveiligingsproblemen die zijn geïdentificeerd door externe onderzoekers zijn niet gerelateerd aan de AMD "Zen" CPU-architectuur of de Google Project Zero exploits die op 3 januari 2018 zijn gepubliceerd. Deze problemen zijn gerelateerd aan de firmware die de embedded security control processor beheert in sommige van onze producten (AMD Secure Processor) en de chipset die gebruikt is in sommige socket AM4 en socket TR4 desktopplatformen met ondersteuning voor AMD-processoren", schrijft AMD in een blogpost.

"Het is belangrijk op te merken dat alle problemen die in het onderzoek naar voren komen administratieve toegang tot het systeem vereisen, een vorm van toegang die de gebruiker onbeperkte toegang geeft tot het systeem en het recht iedere map of bestand op de computer te verwijderen, creëren of aan te passen. Ieder aanvaller die ongeautoriseerde administratieve toegang heeft kan een brede reeks aanvallen uitvoeren, die veel verder gaan dan de exploits die in dit onderzoek zijn gevonden. Daarnaast hebben alle moderne besturingssystemen en enterprise-kwaliteit hypervisors meerdere effectieve beveiligingsmechanismen, zoals Microsoft Windows Credential Guard in de Windows-omgeving, om ongeautoriseerde administratieve toegang die moet worden overwonnen voordat deze beveiligingsproblemen kunnen worden uitgebuit.

Meer details over de beveiligingsproblemen en de wijze waarop AMD deze problemen wil mitigeren is hier te vinden.