martedì, Dicembre 10, 2024

Vulnerabilità processori AMD: correzioni con nuove versioni AGESA

BIOS AMD: Vulnerabilità e nuove versioni di AGESA

Il BIOS è un Software integrato sulla scheda madre del computer. Si trova su un chip EEPROM (Electrically Erasable Programmable Read-Only Memory) o su una flash ROM e ha il compito di fornire le istruzioni di base necessarie per avviare la macchina. Queste istruzioni includono il controllo iniziale dell’Hardware, la verifica e l’inizializzazione dei componenti essenziali come CPU, memoria RAM e periferiche di input/output.

AMD ha appena confermato l’esistenza di quattro vulnerabilità nei processori basati su architettura Zen, dai primi modelli fino ai più recenti Zen 4. Le falle di Sicurezza in questione sono rilevanti perché colpiscono l’interfaccia SPI (Serial Peripheral Interface), che connette la CPU al chip sulla scheda madre dove è memorizzato il BIOS.

### PERCHÉ LE VULNERABILITÀ A LIVELLO DI BUS SPI SONO IMPORTANTI NEL CASO DEI PROCESSORI AMD ZEN

Non tutti i chip AMD coinvolti possono contare su versioni del BIOS aggiornate per correggere il problema e scongiurare rischi di attacco.

La risoluzione delle vulnerabilità coinvolge l’aggiornamento dell’AGESA (AMD Generic Encapsulated Software Architecture), parte integrante del BIOS. La società guidata da Lisa Su ha già rilasciato nuove versioni di AGESA per quasi tutti i suoi processori. Tuttavia, non tutti i produttori di schede madri hanno ancora provveduto a distribuire i nuovi aggiornamenti con l’AGESA corretto.

### QUALI SONO I PROCESSORI E LE SCHEDE MADRI COINVOLTI

La nota di AMD riporta esplicitamente le versioni di AGESA patchate per diverse serie di processori, insieme alla disponibilità per i produttori di schede madri. Ad esempio, per i processori Ryzen 5000, AGESA 1.2.0.B è disponibile già dal 25 agosto 2023.

Esaminando le tabelle condivise dal produttore di Sunnyvale, tuttavia, appare evidente che per proteggere i propri sistemi dalla falla Zenbleed, della quale abbiamo parlato a luglio 2023, è necessaria la versione 1.2.0.C di AGESA. E non è una problematica da sottovalutare perché vulnerabilità che mettono a rischio i dati personali e le credenziali degli utenti possono essere estratte anche da remoto servendosi di codice JavaScript, senza utilizzare privilegi elevati.

AMD fornisce anche le informazioni sulle versioni di AGESA per i processori EPYC, Threadripper e Ryzen Embedded, oltre che evidentemente per i più mainstream Ryzen.

La società statunitense sottolinea che potrebbe passare del tempo prima che le nuove versioni di AGESA raggiungano effettivamente le schede madri degli utenti finali. Per i processori EPYC, Embedded e Mobile, in particolare, è difficile stabilire quali motherboard offrano un BIOS con l’ultima versione.

Nel caso dei processori Ryzen e Threadripper consumer, invece, è più facile ottenere informazioni sulle versioni AGESA disponibili controllando il contenuto dei siti Web dei principali produttori di motherboard, come Asus, ASRock, Gigabyte e MSI.

L’immagine in apertura è tratta dal sito AMD.

Questi problemi di sicurezza e le relative soluzioni sono di estrema importanza, quindi è fondamentale tenere sotto controllo gli aggiornamenti del BIOS e dell’AGESA per assicurare la protezione dei sistemi informatici.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: