AMD reconnaît les 13 vulnérabilités et va patcher

Le par  |  36 commentaire(s)
AMD-Ryzen

AMD confirme des vulnérabilités de sécurité affectant ses processeurs. Pas au niveau matériel mais logiciel.

La semaine dernière, la société de cybersécurité israélienne CTS Labs a dévoilé la découverte de treize vulnérabilités de sécurité dites critiques affectant des processeurs Ryzen, Ryzen Pro, Ryzen Mobile et EPYC d'AMD à architecture Zen.

Dans cette affaire, AMD a été pris de court en étant prévenu seulement 24 heures avant la publication d'un document ne comprenant pas tous les détails techniques (pour éviter une reproduction des failles). Qui plus est, CTS Labs a été extrêmement sévère envers AMD.

Avec l'accès aux détails techniques et du code preuve de concept fourni par CTS Lab, les vulnérabilités ont été confirmées par des tiers, dont Trail of Bits et Check Point. Après avoir eu le temps de digérer, c'est désormais AMD qui atteste de leur existence.

AMDFlaws
Directeur de la technologie chez AMD, Mark Papermaster souligne que les problèmes de sécurité identifiés ne sont pas en rapport avec l'architecture Zen elle-même, mais " associés au firmware qui gère le processeur de contrôle de sécurité intégré dans certains produits (AMD Secure Processor) et le chipset utilisé dans certaines plateformes de bureau pour socket AM4 et TR4. "

Il ajoute que toutes les vulnérabilités nécessitent des privilèges administrateur pour une exploitation. Pour autant, un accès physique n'est pas nécessaire. Des patchs firmware sont prévus pour dans les prochaines semaines via une mise à jour BIOS. AMD estime qu'il n'y aura pas d'impact sur les performances.

Dans un billet de blog, AMD résume lesdits problèmes de sécurité avec leur impact potentiel. Masterkey, Ryzenfall et Fallout sont des ensembles de vulnérabilités en rapport avec AMD Secure Processor ou firmware PSP. PSP fait référence à Platform Security Processor, un noyau ARM intégré dans les puces pour des protections supplémentaires. Chimera concerne des backdoors de fabricants sur le chipset AMD développé par ASMedia.

Après sa publication initiale via le site AMDFlaws, CTS Labs avait clarifié le fait que les vulnérabilités sont " surtout pertinentes pour les réseaux d'entreprise, organisations et fournisseurs cloud. "

Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2005926
Aie, on est pas épargnés
Le #2005933
Comparé à meltdown et spectre, c'est bien moins grave.
Anonyme
Le #2005936
" associés au firmware qui gère le processeur de contrôle de sécurité intégré dans certains produits (AMD Secure Processor) "

Si je comprend bien il y a un firmware dans le processeur comme un bios ?
Le #2005939
yves64 a écrit :

" associés au firmware qui gère le processeur de contrôle de sécurité intégré dans certains produits (AMD Secure Processor) "

Si je comprend bien il y a un firmware dans le processeur comme un bios ?


Cela s'appelle le microcode.
Le #2005941
Safirion a écrit :

Comparé à meltdown et spectre, c'est bien moins grave.


Par contre cts labs sont pas terribles ou ont d'autres raisons mais dévoiler des vulnérabilités sans laisser le temps à AMD de corriger ça pue.
Surtout que les corrections sont logicielles et donc corrigeables.
Le #2005942
yves64 a écrit :

" associés au firmware qui gère le processeur de contrôle de sécurité intégré dans certains produits (AMD Secure Processor) "

Si je comprend bien il y a un firmware dans le processeur comme un bios ?


Et devine quoi ?

Ce firmware est propriétaire ...

Petite pensé aux libristes qui ont un système totalement libre, mais avec un système propriétaire au dessus de celui-ci
Anonyme
Le #2005948
FRANCKYIV a écrit :

yves64 a écrit :

" associés au firmware qui gère le processeur de contrôle de sécurité intégré dans certains produits (AMD Secure Processor) "

Si je comprend bien il y a un firmware dans le processeur comme un bios ?


Et devine quoi ?

Ce firmware est propriétaire ...

Petite pensé aux libristes qui ont un système totalement libre, mais avec un système propriétaire au dessus de celui-ci


LOL ,j'appelle ça du troll frais
Le #2005951
"Des patchs firmware sont prévus pour dans les prochaines semaines via une mise à jour BIOS."

Nan, nous chez CTS Labs on estime qu'AMD ne pourra pas régler les """failles""" en 90 jours ni même en un an (!!!) donc on va rendre ça publique 24heures après les avoirs mis au courant... La sécurité ça compte !
Le #2005958
FRANCKYIV a écrit :

yves64 a écrit :

" associés au firmware qui gère le processeur de contrôle de sécurité intégré dans certains produits (AMD Secure Processor) "

Si je comprend bien il y a un firmware dans le processeur comme un bios ?


Et devine quoi ?

Ce firmware est propriétaire ...

Petite pensé aux libristes qui ont un système totalement libre, mais avec un système propriétaire au dessus de celui-ci


Bel exemple de commentaire troll dont toi seul a le secret
Même Yves n'en revient pas tellement c'est trollesque, tu l'as surpassé
Et pour info, même sans utiliser les firmware non free sur Debian, le Kernel contient des blobs binaires fermés, heureusement "chez les libristes" on a pas attendu que tu découvres ça pour se renseigner

Alors ca yest, ta la gaule ? une demi molle peu être ?
Suivre les commentaires
Poster un commentaire
Anonyme