• Masterbitz

La nueva vulnerabilidad de escalamiento de privilegios de SMM Callout afecta a las plataformas AMD

El miércoles, AMD reveló una nueva vulnerabilidad de seguridad que afecta a ciertos procesadores de cliente y APU lanzados entre 2016 y 2019. Llamada la vulnerabilidad de escalada de privilegios de llamadas de SMM, descubierta por Danny Odler y descrita bajo CVE-2020-12890, la vulnerabilidad involucra a un atacante con un nivel elevado privilegios del sistema para manipular el microcódigo AGESA encapsulado en el firmware UEFI de la plataforma para ejecutar código arbitrario sin ser detectado por el sistema operativo. AMD planea lanzar actualizaciones de AGESA que mitiguen la vulnerabilidad (sin impacto aparente en el rendimiento), a los proveedores de placas base y OEM para fines de junio de 2020. Algunas de las últimas plataformas ya son inmunes a la vulnerabilidad.





Sigue una declaración de AMD.


AMD conoce nuevas investigaciones relacionadas con una posible vulnerabilidad en la tecnología de software de AMD suministrada a los fabricantes de placas base para su uso en su infraestructura de interfaz de firmware extensible unificada (UEFI) y planea completar la entrega de versiones actualizadas diseñadas para mitigar el problema a fines de junio de 2020 .


El ataque dirigido que se describe en la investigación requiere acceso físico o administrativo privilegiado a un sistema basado en portátiles AMD seleccionados o procesadores integrados. Si se adquiere este nivel de acceso, un atacante podría manipular potencialmente la Arquitectura de software encapsulada genérica (AGESA) de AMD para ejecutar código arbitrario sin ser detectado por el sistema operativo.


AMD cree que esto solo afecta a ciertos clientes y procesadores APU integrados lanzados entre 2016 y 2019. AMD ha entregado la mayoría de las versiones actualizadas de AGESA a nuestros socios de placas base y planea entregar las versiones restantes para fines de junio de 2020. AMD recomienda seguir las La mejor práctica de seguridad de mantener los dispositivos actualizados con los últimos parches. Los usuarios finales que tengan preguntas sobre si su sistema se está ejecutando en estas últimas versiones deben comunicarse con su placa base o con el fabricante del equipo / sistema original.


Agradecemos a Danny Odler por su investigación de seguridad en curso.


Fuente: AMD

2 vistas

Siguenos

  • Facebook
  • Twitter
  • YouTube
  • Instagram

© 2016 Derechos Reservados a Masterbitz Review