Az AMD nemrégiben egy érdekes listát közölt, amelyen nem kevesebb, mint 31 darab sebezhetőségről tesznek említést, ezek mindegyike a vállalat processzorait érinti, kezdve a konzumerpiaci asztali processzoroktól, az APU egységeken át egészen az EPYC sorozatú szerverprocesszorokig. Érdekes módon csak a listát közölte a vállalat, hivatalos sajtóközleményt egyelőre nem adtak ki, így hírünk írásakor még csak limitált mennyiségű információ áll rendelkezésre. A sebezhetőségeket koordináltan, több egyéb vállalat szakembereivel együttműködve publikálták, vagyis az AMD-t már korábban értesítették az összes sebezhetőségről, így a nyilvános bejelentés előtt ezek többségére elkészíthették a szükséges javításokat, vagy éppen azokat a kódokat, amelyek segítenek a támadási felület jelentős csökkentésében.
A listákon szerepel néhány AGESA kiadás, vagyis annak a mikrokódnak a különböző verziói, amelyek felhasználásával az OEM partnerek a BIOS/UEFI firmware kiadásokat készítik. Gyártónként eltérő, hogy mikor érkeznek a frissítésekkel ellátott BIOS kiadások, így érdemes ezeket folyamatosan figyelemmel kísérni. Sajnos a régebbi rendszerek nem minden esetben kapják meg a szükséges frissítéseket, ahogy azt korábban már többször, több gyártónál is láthattuk, illetve jelenleg egyes olyan modellek sem kaptak még frissítést, amelyek modernebbek, azaz a sebezhetőségek javítása még folyamatban van.
A sebezhetőségek sokféle modellt érintenek, egészen a 2000-es sorozatú asztali RYZEN proceszoroktól a 2000-es és 5000-es sorozatú asztali APU egységeken át a RYZEN 2000-es, 3000-es, 5000-es, 6000-es és Athlon 3000-es sorozatú mobil APU egységekig, valamint a 2000-es és a 3000-es sorozatú HEDT processzorok, a Threadripper modellek is érintettek. A szóban forgó modellekkel kapcsolatban három új sebezhetőségről érkezett hír, amelyek az asztali RYZEN processzorokat, a HEDT modelleket, a Pro sorozatú termékeket, illetve a mobil APU egységeket fenyegetik. Az egyik sebezhetőség magas kockázatot rejt, míg a másik kettő már közepes és alacsony kockázati besorolást kapott. Ezeket a sebezhetőségeket a BIOS, vagy az AMD Secure Processor bootloader támadásával lehet kiaknázni.
Ezzel egy időben 28 olyan sebezhetőség is napvilágot látott, amelyek már a szerverpiacra szánt EPYC processzorokat érintik, közülük négy magas kockázatot jelent. A négyből három esetben lehetőség van kártékony kódok futtatására különböző támadásvektorokon keresztül, míg a negyediknél különböző régiókat lehet elérni adatírási céllal, amelynek következtében az adatok integritása és elérhetősége veszélybe kerül. 15 sebezhetőség közepes kockázati besorolást kapott, míg további kilenc esetben alacsony a kockázat.
A fenti hírek nem túl pozitívak, ugyanis korábban az AMD processzoraira úgy tekintett a piac, hogy azok megbízhatóbbak az Intel termékeinél, ugyanis kevesebb sebezhetőséget tartalmaznak. Azt nehéz eldönteni, hogy az eddigi vélekedést az segítette-e, hogy a processzorok fejlesztésekor tényleg a biztonság volt az elsődleges szempont, azaz jobban ellenáll a dizájn a támadásformáknak; vagy éppen az, hogy az Intel processzoraira nagyobb figyelem összpontosult, mivel a gyártó nagyobb piaci részesedéssel rendelkezik a processzorok szegmensében.
Az AMD piaci részesedése növekedési pályára állt az elmúlt időszakban, főként a biztonságot kiemelten előtérbe helyező szerverpiacon, ami azt eredményezheti, hogy a biztonságtechnikai szakemberek még nagyobb figyelmet fordítanak majd e termékek vizsgálatára, hogy az esetleges sebezhetőségekre minél előbb fény derülhessen.
Az egyelőre nem világos, hogy a fenti sebezhetőségekre készített javítások, illetve támadásifelület-csökkentő metódusok mekkora negatív hatást gyakorolhatnak a teljesítményre, illetve egyáltalán okoznak-e bármekkora lassulást. Ahogy erre fény derül, vagy az AMD további tudnivalókat közöl a sebezhetőségekkel kapcsolatban, arról be fogunk számolni.
