Az AMD háza táján nemrégiben egy mikrokódhoz kapcsolódó sebezhetőséget találtak, amire elsőként egy biztonságtechnikai kutató, Tavis Ormandy hívta fel a vállalat figyelmet, aki egyébként a Google Project Zero csapatát erősíti.  A biztonságtechnikai kutató egy olyan problémára mutatott rá, amelyen keresztül elvileg lehetőség van arra, hogy ne csak az AMD által hivatalosan aláírt mikrokód töltődhessen be, ami rengeteg komoly probléma forrása lehet.

A hibára egyébként egy béta BIOS dokumentációjában bukkant rá, amit az ASUS mérnökei készítettek, és amiben már van utalás a sebezhetőség tényére, illetve ez a BIOS, ami az ASUS egyik gamer alaplapjához készült, elvileg tartalmazza is a javítást. Pedig erről a sebezhetőségről egyelőre hivatalos tájékoztatást sem adott ki az AMD, sőt, miután az ügy médiavisszhangot kapott, gyorsan módosították is a szóban forgó béta BIOS leírását – kivették belőle a sebezhetőség javítására utaló megjegyzést.

A sebezhetőség kiaknázása szerencsére nem egy egyszerű folyamat, ugyanis egyrészt adminisztrátori jogkört igényel, másrészt pedig kellő felkészültséget is kíván ahhoz, hogy a támadó ki tudja fejleszteni a benne rejlő lehetőségeket és ezt a kártékony kódot futtatnia is kell. Ez azt jelenti, hogy ugyan egy igen-igen súlyos sebezhetőségről van szó, ezt viszont nem lehet egyszerűen fegyverré varázsolni, hiszen komoly felkészültségre van hozzá szükség és a rendszerhez való hozzáférés sem egy könnyen kivitelezhető feladat. Maga a patch egyébként Ormandy szerint még nincs jelen a Linux firmware-ben, azaz csak az ASUS által kiadott béta BIOS formájában érhető el.

Azt sajnos egyelőre nem lehet tudni, hogy a sebezhetőség pontosan milyen hatást gyakorolhat az adott rendszerre, ám a biztonságtechnikai kutatók már elkezdték találgatni, mi minden lehet a háttérben. Az Invisible Things szakembere, Demi Marie például úgy látja, hogy ha a támadó sikerrel jár és el tudja érni, hogy betöltse a rendszer a kártékony kódot tartalmazó mikrokódot, amihez mindenképpen Ring 0 és SVM Root Mode hozzáférést kell szereznie, akkor akár arra is lehetősége nyílhat, hogy az összes kritikus fontosságú biztonsági funkciót megkerülje. Ilyen például az SMM (System Management Mode), a SEV-SNP (Secure Encrypted Virtualiztaion-Secure Nested Paging), illetve a DRTM (Dynamic Root of Trust for Measurement), vagyis a sebezhetőségen keresztül a szuper alacsony szintű védelmi mechanizmusok megkerülésére nyílik mód, ami óriási veszélyeket rejt.

Az AMD a The Register munkatársainak megerősítette, valóban van egy sebezhetőség, ami javítást igényel és amire rövidesen el is készül a patch. A javítást már elkészítették és most azon dolgoznak, hogy partnereikkel és vásárlóikkal együttműködve mielőbb alkalmazzák a javításokat. Valószínűleg a sebezhetőség leírását is csak akkor teszik közzé, ha a patch már rendelkezésre áll és zajlik a terjesztése.

Hasonló sebezhetőségekre persze már korábban is fény derült, amelyek több termékcsaládot is érintettek. Jelen esetben egyelőre nem világos, pontosan mely szériákat veszélyeztet a sebezhetőség, de idővel erre is fény derülhet.