Avec le concours d'Apple, Google et Oracle, AMD a décelé 31 vulnérabilités sur ses processeurs à destination des consommateurs et des data centers.
Les détails de cette découverte ont été répertoriés dans un rapport de vulnérabilité exceptionnellement publié ce mois-ci, en raison de la gravité de la situation. En temps normal, AMD présente ce type de rapport en mai et novembre.
Une faille d'ampleur pour les processeurs AMD
Parmi les 31 vulnérabilités nouvellement décelées, 28 affecteraient les processeurs EPYC, spécifiques aux data centers. Quatre d'entre elles ont été classées comme étant de « haute priorité ». Concernant les processeurs à destination des consommateurs, nous avons donc trois failles, dont une hautement prioritaire.
Ces trois vulnérabilités des processeurs pour particuliers toucheraient un large panel de modèles, des Ryzen 2000 aux 6000 à destination des PC portables, en passant par les Threadripper 2000 et 3000 HEDT et Pro.
Comme à l'accoutumée, ces failles de sécurité toucheraient le BIOS et le démarrage sécurisé, offrant l'accès à des attaquants extérieurs dotés de privilèges élevés d'accéder ainsi à la machine vulnérable pour en manipuler le fonctionnement, comme en injectant des malwares.
Déploiement d'urgence de correctifs
Bien entendu, AMD s'est penchée sur des moyens de mitiger ces failles dès que possible. Le caractère exceptionnel de la situation a également forcé la société à déployer un tel rapport ce mois-ci, habituellement délivré deux fois par an. Les vulnérabilités jugées de haute priorité ont naturellement été les premières à être traitées.
De ce fait, le fabricant a mis en place des changements ASEGA (un code utilisé durant la création du BIOS et du code UEFI), qui ont été fournis aux OEM. La balle tombe ensuite dans le camp des vendeurs pour déployer ces correctifs aussi rapidement que possible.
Les utilisateurs des séries de processeurs potentiellement affectés sont donc invités à se rendre sur le site officiel des vendeurs afin de voir si une nouvelle mise à jour est disponible et l'installer. Compte tenu de la gravité de la situation, il est en effet préférable de prévenir plutôt que de guérir en attendant que les vendeurs déploient eux-mêmes lesdits correctifs.
Source : AMD