Créditos: AMD

AMD admite vulnerabilidade em softwares fornecidos aos fabricantes de placa mãe

A empresa definiu o final deste mês como prazo para correção do problema

A AMD anunciou na última quarta-feira, 17 de junho, estar ciente da brecha encontrada pelo pesquisador de cyber segurança Danny Odler. A companhia de hardware disse ainda que pretende entregar até o fim deste mês uma atualização mitigando o problema.

A vulnerabilidade foi encontrada pelo especialista ao testar um Mini PC da AMD, concorrente do NUC Intel, e está relacionada aos softwares fornecidos aos fabricantes de placa mãe.

Tendo acesso privilegiado ao computador, é possível fazer com que a AGESA (Arquitetura de sistema genérico encapsulado da AMD) processe códigos desejados sem ser percebido pelo sistema operacional.

O responsável pela descoberta, Danny Older, trabalha por conta própria como pesquisador em segurança virtual em Israel. Ele fez o seguinte tweet apresentando o problema:

- Continua após a publicidade -

Segundo um post dele, desde a metade de abril a descoberta é considerada oficialmente uma vulnerabilidade. Se o prazo que a empresa propôs for cumprido, a brecha será corrigida 2 meses e meio após sua descoberta.

Confira a nota oficial da AMD:

"A AMD está ciente da nova pesquisa relacionada à vulnerabilidade potencial na tecnologia de software AMD fornecida aos fabricantes de placas mãe para uso na infraestrutura de suas Interfaces Unificadas de Firmware Extensível (UEFI) e planeja entregar versões atualizadas projetadas para diminuir o impacto do problemas até o fim de junho de 2020.

"A AMD está ciente da nova pesquisa relacionada à vulnerabilidade potencial na tecnologia de software AMD fornecida aos fabricantes de placas mãe para uso na infraestrutura de suas Interfaces Unificadas de Firmware Extensível (UEFI) e planeja entregar versões atualizadas projetadas para diminuir o impacto do problemas até o fim de junho de 2020.

O ataque direcionado descrito na pesquisa necessita de acesso físico ou administrativo privilegiado [...]. Se esse nível de acesso for atingido, alguém que efetue um ataque poderia potencialmente manipular a AGESA para que execute códigos arbitrários que passam despercebidos pelo sistema operacional.

O ataque direcionado descrito na pesquisa necessita de acesso físico ou administrativo privilegiado [...]. Se esse nível de acesso for atingido, alguém que efetue um ataque poderia potencialmente manipular a AGESA para que execute códigos arbitrários que passam despercebidos pelo sistema operacional.

[...] A AMD forneceu a maioria das versões de AGESA atualizadas para nossos parceiros de placa mãe e planeja entregar as versões restantes até o final de junho de 2020. A AMD recomenda a boa prática de segurança que é manter os dispositivos atualizados com os patches mais recentes. Usuários finais com dúvidas sobre se seus sistemas estão funcionando com a versão mais recente devem contatar os fabricantes de suas placas mãe [...].

[...] A AMD forneceu a maioria das versões de AGESA atualizadas para nossos parceiros de placa mãe e planeja entregar as versões restantes até o final de junho de 2020. A AMD recomenda a boa prática de segurança que é manter os dispositivos atualizados com os patches mais recentes. Usuários finais com dúvidas sobre se seus sistemas estão funcionando com a versão mais recente devem contatar os fabricantes de suas placas mãe [...].

- Continua após a publicidade -

Agradecemos a Danny Odler pela sua pesquisa contínua em segurança."

Agradecemos a Danny Odler pela sua pesquisa contínua em segurança."

(Equipe AMD)

(Equipe AMD)

A AMD recentemente passou por uma onda de rumores sobre o adiamento de seus processadores com arquitetura Zen 3. Os rumores foram desmentidos posteriormente, e a empresa anunciou logo após novos processadores em Zen 2.

Via: TechPowerUp Fonte: AMD
Tags
  • Redator: Odir Brüggmann Filho

    Odir Brüggmann Filho

Escolha um lado:

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.