Vysoko závažná zraniteľnosť v procesoroch AMD

Spoločnosť Microsoft v rámci balíka opráv Patch Tuesday vydala opravu pre 34 zraniteľností. Oprava sa týkala aj 1 zero-day zraniteľnosti v procesoroch AMD a jej úspešné zneužitie môže viesť k úniku informácií.

Zraniteľné systémy:

  • AMD EPYC™ 7001 Procesory
  • AMD Athlon™ 3000 Procesory s Radeon™ Graphics
  • AMD Ryzen™ 3000 Procesory s Radeon™ Graphics
  • AMD Athlon™ PRO 3000 Procesory s Radeon™ Vega Graphics
  • AMD Ryzen™ PRO 3000 Procesory s Radeon™ Vega Graphics

Opis činnosti:

CVE-2023-20588 (CVSS skóre 5,5)

Zero-day zraniteľnosť CVE-2023-20588 sa nachádza v procesoroch AMD. Chyba sa týka delenia nulou, pričom môže procesor vrátiť náhodné dáta. Úspešné zneužitie si vyžaduje lokálny prístup útočníka. Zraniteľnosť objavili Jana Hofmann, Emanuele Vannacci, Cédric Fournet, Boris Köpf, Oleksii Oleksenko z tímu Microsoft Azure Research a Univerzita Vrije v Amsterdame.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Únik informácií

Odporúčania:

Bezodkladná aktualizácia systému Windows na najnovšiu verziu.

Vývojárom sa odporúča zabezpečiť, aby sa v operáciách delenia nulou nepoužívali žiadne privilegované údaje, resp. dodržiavať best practices vývoja.

Odkazy:

https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2023-patch-tuesday-fixes-34-flaws-1-zero-day/

https://nvd.nist.gov/vuln/detail/CVE-2023-20588

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-20588

https://www.crowdstrike.com/blog/patch-tuesday-analysis-december-2023/