【脆弱性】AMDのCPUに脆弱性 対策BIOS適用が推奨
スポンサーリンク
AMDのCPUに脆弱性が見つかった。マザボメーカーなどから提供されるBIOSアップデートが推奨されている。
CPU,SoCニュースのまとめはこちら。
AMDの発表
AMDが提供するRyzenブランドのCPUの多くに脆弱性が見つかった。
Athlon 3000シリーズからRyzen 9000、Ryzen AI 300シリーズまで多くの製品が対象で、マザーボードメーカなどから提供されるBIOSアップデートの適用が推奨される。
AMD Ryzen 脆弱性 2606 出典:AMD
以下のCVE番号の脆弱性が対応する。
- CVE-2021-46747 AMD Secure Processor (ASP) におけるアクセス制御の粒度が不十分なため、攻撃者が権限昇格につながる可能性
- CVE-2023-31316 ASPにおける省電力/復旧操作中にハードウェア構成状態の整合性が適切に保持されない場合、攻撃者が機密性、完全性、または可用性に影響を与える可能性
- CVE-2025-48516 DDR5メモリモジュールの安全でないデフォルト構成状態により、永続的なサービス拒否状態を引き起こしたり、メモリモジュールの完全性に影響を与えたりする可能性
- CVE-2024-36315 攻撃者が投機的アクセスの障壁を回避して機密情報を漏洩させる可能性
- CVE-2026-0438 システム管理モード(SMM)ハンドラは、SMM以外のメモリ領域(信頼できないメモリ領域)に存在するコードを呼び出す可能性
- CVE-2025-0040 物理的にアクセスできる攻撃者がクロスチップデバッグ (XCD) レジスタの内容を読み取ったり上書きしたりすることが可能になり、データの完全性や機密性が失われる可能性
- CVE-2024-36345 特権を持つ攻撃者が境界外読み取りを実行できる可能性があり、機密性の喪失につながる恐れ
- CVE-2024-36343 特権を持つ攻撃者がメモリセグメント上部(TSEG)メモリ領域の限られた部分に対して境界外の読み取りまたは書き込みを実行できる可能性があり、機密性または完全性の喪失につながる恐れ
- CVE-2021-26380 侵害されたTrusted OS(TOS)ドライバは、意図した範囲外のメモリへのアクセスを許してしまう可能性
- CVE-2022-23826 グラフィックインターフェースにおけるTOCTOU(Time-Of-Check to Time-Of-Use:チェックから使用までの時間)の不整合により、攻撃者がレジスタを繰り返しロードすることが可能になり、競合状態が発生し、データの整合性が失われる可能性
対象CPU
以下のCPUが対象。
- Athlon 3000 デスクトップ/モバイル
- Ryzen 3000 デスクトップ/モバイル
- Ryzen 4000 デスクトップ/モバイル
- Ryzen 5000 デスクトップ/モバイル
- Ryzen 6000
- Ryzen 7000 デスクトップ/モバイル
- Ryzen 8000 デスクトップ/モバイル
- Ryzen 9000 デスクトップ/モバイル
- Ryzen Ai 300/MAX
- Ryzen Threadripper 3000
- Ryzen Threadripper 7000
- Ryzen Threadripper 9000
- Ryzen Threadripper PRO 3000
- Ryzen Threadripper PRO 7000
- Ryzen Threadripper PRO 9000
- Ryzen Z1/Z2
このほかRyzen EMbeddedシリーズがある。
詳細はAMDのWEBを参照。修正されるファームウェア情報が書かれており一部は対応されないとのことだ。
PR
著者プロフィール
irvine
ソフトウェア設計、ストレージ設計を経てクラウドにかかわる仕事をしている、東京郊外在住のエンジニア。
仕事でUS,UK,SGなどの国とかかわる。
自作PC、スマホ、タブレット、AV機器好き。ドラクエウォークはルーチンワーク。Linuxやストレージ、IT業界の動向は興味を持っている。
新しい機器、サービスに興味あり。年数回のレビュー(自腹購入、ご依頼)と発表されて興味があるものの新製品机上レビューをやっている。
2022年はJAPANNEXT様のアンバサダーを務めました。
" >
