AMDは、同社が展開中のプロセッサ製品に幅広く影響する脆弱性について情報を公開した。SPIインタフェースに依存している脆弱性で、緩和策にはUEFIアップデートが必要になる。
「CVE-2023-20576」「CVE-2023-20577」「CVE-2023-20579」「CVE-2023-20587」の4つの脆弱性がRyzen・Threadripper・EPYC各シリーズで発見されたという内容。全モデルで4つの脆弱性がすべて存在しているわけではないが、初代ZenベースからZen4ベースまで幅広く対象範囲に存在している。
- CVE-2023-20576:AGESAにおけるデータの真正性の検証が不十分なため、攻撃者がSPI ROMのデータを更新できる可能性があり、サービス拒否や権限の昇格につながる可能性がある
- CVE-2023-20577:SMMモジュールのヒープオーバーフローにより、攻撃者がSPIフラッシュへの書き込みを可能にする第二の脆弱性にアクセスし、任意のコードを実行される可能性がある
- CVE-2023-20579:AMD SPI保護機能の不適切なアクセス制御により、Ring0 (カーネルモード) 特権アクセス権を持つユーザーが保護をバイパスし、完全性と可用性が失われる可能性がある
- CVE-2023-20587:システム管理モード (SMM) における不適切なアクセス制御により、攻撃者がSPIフラッシュにアクセスし、任意のコードを実行される可能性がある