AMD, Ocak ayı güncellemesinde tüketiciler için Ryzen yongaları ve EPYC veri merkezi işlemcilerini kapsayan 31 yeni CPU güvenlik açığını açıkladı. Güvenlik açığı güncellemesi, etkilenen işlemciler için hafifletmelerle birlikte AGESA sürümlerinin bir listesini de içerir. AMD, Google, Apple ve Oracle ekipleri de dahil olmak üzere birkaç araştırmacıyla koordineli bir açıklama yaparak güvenlik açıklarını ortaya çıkardı ve bu, şirkete halka arzdan önce hafifletme önlemleri geliştirmesi için zaman verdi.
AMD, güvenlik açıklarını yamalamak için OEM’lerine yayınladığı çeşitli AGESA revizyonlarını listeledi (AGESA kodu, BIOS/UEFI kodu oluşturmak için kullanılır). Ancak, yeni AGESA koduna sahip yeni BIOS yamalarının kullanılabilirliği satıcıya göre değişiklik gösterecektir. Bu, doğru AGESA koduyla yeni BIOS revizyonları yayınlayıp yayınlamadığını görmek için anakartınız veya sistem satıcınızla görüşmeniz gerekeceği anlamına gelir.
Zaman zaman eski sistemlerde gördüğümüz gibi, bazıları güncellenmeyebilir. Ayrıca, etkilenen bazı modellerde henüz hafifletmelerin olmadığı görülüyor, ancak AMD’yi takip ediyoruz ve daha fazla ayrıntıya sahip olduğumuzda bunu güncelleyeceğiz.
Güvenlik açıkları şunları içerir: tüketici odaklı Ryzen masaüstü PC, HEDT, Pro ve Mobil işlemciler için üç yeni varyant. Güvenlik açıklarından biri yüksek önem derecesinde listelenirken, diğer ikisi Orta veya Düşük önem derecesinde derecelendirilir. Bu güvenlik açıkları, BIOS saldırıları veya AMD Güvenli İşlemci (ASP) önyükleyicisine yapılan bir saldırı yoluyla kullanılabilir.
Güvenlik açıkları, Ryzen 2000 serisi Pinnacle Ridge masaüstü yongalarının yanı sıra entegre grafiklerle (Raven Ridge, Cezanne) gelen 2000 ve 5000 serisi APU ürün serilerini kapsar. Ayrıca AMD’nin Threadripper 2000- ve 3000-serisi HEDT ve Pro işlemcileri ile çok sayıda Ryzen 2000-, 3000-, 5000-, 6000- ve Athlon 3000-serisi mobil işlemciler de etkileniyor.
AMD de listeledi EPYC işlemcileri için 28 güvenlik açığıdördü yüksek şiddettedir. Önem derecesi yüksek varyantlardan üçü, çeşitli saldırı vektörleri yoluyla rastgele kod yürütülmesine olanak tanırken, biri, veri bütünlüğü ve kullanılabilirliği kaybına yol açabilecek belirli bölgelere veri yazılmasına izin verir. Araştırmacılar ayrıca orta önem derecesine sahip 15 güvenlik açığı ve düşük önem derecesine sahip dokuz güvenlik açığı daha ortaya çıkardı.
AMD, güvenlik açığı açıklamalarını genellikle Mayıs ve Kasım aylarında olmak üzere yılda iki kez yayınladığını, ancak nispeten çok sayıda yeni güvenlik açığı ve hafifletmelerin zamanlaması nedeniyle bazılarını Ocak ayında yayınlamayı seçtiğini söylüyor.
AMD’nin çiplerinin, Intel’in modellerinden daha az bilinen güvenlik açığına sahip olmasıyla uzun süredir biliniyor. Bununla birlikte, AMD işlemcilerdeki başlangıçtaki sınırlı keşiflerin, sağlamlaştırılmış işlemci tasarımına yönelik önce güvenlik yaklaşımından mı kaynaklandığını, yoksa araştırmacıların ve saldırganların yalnızca hakim pazar payları nedeniyle Intel’in işlemcilerine mi odaklandıklarını tespit etmek zordur: Saldırganlar neredeyse her zaman mümkün olan en geniş kesit.
Bu nedenle, AMD’nin özellikle güvenlik odaklı veri merkezi pazarında Intel’den pazar payını kapma konusundaki son başarısı, araştırmacıların olası güvenlik açıklarını araştırmak için gözlerini AMD’nin mimarilerine daha fazla çevirmelerini sağlayacaktır. AMD ayrıca yakın geçmişte, yazılımın yeniden kodlanmasını gerektiren Meltdown benzeri bir değişken, Hertzbleed ve Take A Way dahil olmak üzere birçok yeni güvenlik açığı ifşası yaptı.
Bazı işlemcilere henüz yama uygulanmamış gibi göründüğünden, birkaç listeyle ilgili olarak AMD’yi takip ediyoruz.