TECH ACTUS – Il ne suffit pas que le taux d’échec des cartes Radeon RX 7900 XTX de référence puisse être élevé ; maintenant, de nombreuses vulnérabilités ont été découvertes dans les processeurs Ryzen et Epyc d’AMD !
Si c’est ainsi que se déroule l’année d’AMD, ce sera son annus horribilis, ou la pire année de tous les temps, pour l’entreprise : leur site Web indique que 31 (trente et une !) nouvelles vulnérabilités ont été découvertes. AMD a collaboré avec le trio Apple, Google et Oracle et a annoncé que de nombreuses variantes AGESA seraient mises à jour (le code AGESA est utilisé dans la construction du code BIOS et UEFI). Les modifications ont été envoyées aux OEM, et il appartient aux fabricants (par exemple, ASUS, Gigabyte…) de publier la mise à jour dès que possible.
Pour cette raison, il vaut la peine de visiter souvent le site Web du fournisseur (et n’utilisez pas la recherche Google car vous risquez d’obtenir plus de malwares lors de la recherche de pilotes !) car les 31 vulnérabilités affectent plusieurs gammes de produits. Cela peut sembler urgent car les processeurs Ryzen desktop et mobile, Threadripper HEDT et Pro sont concernés, et en plus de cela, les processeurs Epyc pour serveurs ne sont pas sûrs non plus.
Les 31 vulnérabilités doivent être décomposées. Trois ont été trouvés pour les processeurs Ryzen, mais l’un d’entre eux a été décrit par AMD comme étant de haute gravité. La vulnérabilité est ouverte aux attaquants via le BIOS et le chargeur de démarrage ASP (ou chargeur de démarrage AMD Secure Processor). Les 28 vulnérabilités restantes affectent les processeurs Epyc, dont quatre décrites par AMD comme très graves. Trois d’entre eux permettent aux vecteurs d’être attaqués dans plusieurs zones pour exécuter du code. L’un fournit même l’écriture de données, ce qui pourrait entraîner une perte de données.
Les processeurs concernés sont les processeurs de la série Ryzen 2000 (Pinnacle Ridge), les APU Ryzen 2000, les APU Ryzen 5000, les séries de processeurs de serveur AMD Threadripper 2000 HEDT et Pro, les séries de processeurs de serveur AMD Threadripper 3000 HEDT et Pro, les processeurs mobiles de la série Ryzen 2000, la série Ryzen 3000 processeurs mobiles, processeurs mobiles de la série Ryzen 5000, processeurs mobiles de la série Ryzen 6000 et processeurs mobiles de la série Athlon 3000. Comme d’habitude, AMD aurait divulgué les vulnérabilités en mai et novembre mais l’a déjà fait pour résoudre le problème plus tôt. Les processeurs AMD sont également concernés par une variante Hertzbleed, une vulnérabilité similaire à Meltdown et “Take A Way”.
Source : WCCFTech