Fontos biztonsági réseket javított az AMD, de (még) nem tett említést róluk

A négy sérülékenység mindegyike kritikus besorolású, ugyanis a CVE besorolása szerint a 8,6 és 9 pont közötti sávba tartoznak.

Fontos biztonsági réseket javított az AMD, de (még) nem tett említést róluk

Az AMD a legfrissebb információk szerint négy komoly sérülékenységet javított a 20.1.1-es verziószámú driverrel, ám ezekről sajnos egy árva szó sem esett a hivatalos dokumentációban, ami mindenképpen probléma. Egyébként most sem az AMD hozta nyilvánosságra a sebezhetőségeket, hanem egy biztonságtechnikai cég, a Talos Intelligence munkatársai. Aki tehát idén még nem frissítette Radeon sorozatú videokártyájához tartozó drivert, most itt az ideje, hogy pótolja a hiányosságot.

Galéria megnyitásaLényegében mind a négy sebezhetőség az ATIDXX64.DLL fájlra mutat, amelyeken keresztül szélsőséges esetben kártékony kódok futtathatóak az adott rendszeren, sőt, még a VMWare gazdarendszert is veszélybe tudják sodorni. A tesztek alapján a sebezhetőségeket akár WebGL alapú tartalmat futtató weboldalon keresztül is ki lehet aknázni a megfelelő kódok segítségével. A tesztek egy Radeon RX 550-es sorozatú videokártyán zajlottak, valamint a VMWare workstation 15-ös kiadását is bevetették a szakemberek, amelyen 64-bites Windows 10-es operációs rendszer töltötte be a vendég szerepét. A sebezhetőség természetesen nem korlátozódik a Radeon RX 550-es sorozatra, hiszen az AMD Shader Compiler egységes kódbázist használ minden egyes DirectX 12-es GPU esetében, így a többi modell is veszélyben lehet.

A sebezhetőségek kiaknázásához speciális shader kódra van szükség, amelyen keresztül ki lehet használni a shader fordítóban rejlő hibákat. A VMware esetében ráadásul a virtuális gépeken futó 3D alkalmazásokon keresztül a kiszolgáló rendszer drivere is támadható, ami érdekes lehetőségek előtt nyitja meg az utat. A sebezhetőségek az alábbi CVE bejegyzések alatt futnak:

  • CVE-2019-5124 – AMD ATI Radeon ATIDXX64.DLL shader functionality constant buffer denial-of-service vulnerability
  • CVE-2019-5146 – AMD ATI Radeon ATIDXX64.DLL MAD shader functionality denial-of-service vulnerability
  • CVE-2019-5147 – AMD ATI Radeon ATIDXX64.DLL MOVC shader functionality denial-of-service vulnerability
  • CVE-2019-5183 – AMD ATI Radeon ATIDXX64.DLL shader functionality VTABLE remote code execution vulnerability

Ezek közül az első három igazából egy speciális támadásforma különböző változatait takarják: egy jól összeállított shader kódon keresztül lehetőség van a grafikus driver összeomlásának előidézésére, ami a VMWare környezetben azt eredményezi, hogy összeomlik a kiszolgáló rendszer grafikus eszközillesztője, így a rajta futó összes vendég gép is le fog állni.

A negyedik sebezhetőség egy fokkal veszélyesebb, hiszen megfelelő kód segítségével távoli kódfuttatásra is lehetőség nyílik, vagyis nem egyszerű rendszerösszeomlás idézhető elő, hanem ennél nagyobb károkat is lehet okozni, ugyanis a VMWare vendég operációs rendszeren keresztül a VMWare kiszolgálót lehet támadni.

Az aktuális információk alapján a fent említett négy sérülékenységet már a 20.1.1-es driverben javította az AMD, ám erre semmi sem utal, hiszen a hivatalos dokumentáció nem tesz említést semmiféle kritikus besorolású sérülékenységről. A Talos Intelligence állításait egyébként a VMWare hivatalos blogja a is megerősíti, így a 20.1.1-es driverrel már biztosan javították a sebezhetőségeket.

Neked ajánljuk

Kiemelt
-{{ product.discountDiff|formatPriceWithCode }}
{{ discountPercent(product) }}
Új
Teszteltük
{{ product.commentCount }}
{{ voucherAdditionalProduct.originalPrice|formatPrice }} Ft
Ajándékutalvány
0% THM
{{ product.displayName }}
nem elérhető
{{ product.originalPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.displayName }}

Tesztek

{{ i }}
{{ totalTranslation }}
Sorrend

Szólj hozzá!

A komment írásához előbb jelentkezz be!
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mondd el, mit gondolsz a cikkről.

Kapcsolódó cikkek

Magazin címlap