Attention, tous les processeurs Zen d’AMD sont victimes de failles de sécurité importantes

Les processeurs Zen de génération 1 à 4 d’AMD sont victimes d’une vulnérabilité critique. AMD a partagé une liste de failles de sécurité affectant l’architecture des CPU Ryzen, les laissant à la merci de dangers potentiels.

AMD vulnérabilité Zen 1-4

Alors qu’AMD travaille activement à la prochaine génération de ses GPU RDNA 4, l’entreprise est confrontée à une nouvelle crise. Cette fois-ci, il ne s’agit pas d’un problème lié à sa technologie Anti-Lag+ récemment désactivée, mais d’une vulnérabilité affectant l’ensemble de ses processeurs Zen.

Selon AMD, tous les CPU des générations 1 à 4 seraient concernés par des failles de sécurité. Identifiées du côté du BIOS, elles auraient un impact important sur la sécurité des systèmes. Elles pourraient notamment compromettre la liaison SPI. Selon les informations partagées par la firme, ces vulnérabilités pourraient entraîner de sérieux problèmes.

Selon AMD les vulnérabilités des processeurs Zen sont sévères

AMD affirme que ces failles atteignent un niveau de gravité “élevé”. Les vulnérabilités nouvellement découvertes ont été décrites comme pouvant permettre l’activation de codes arbitraires ainsi que d’autres activités malveillantes. Elles sont divisées en quatre vulnérabilités CVE, chacune exploitant des failles dans l’interface SPI.


CVE
SévéritéDescription
CVE-2023-20576ÉlevéUne vérification insuffisante de l’authenticité des données dans AGESA peut permettre à un attaquant de mettre à jour les données ROM SPI, pouvant entraîner un déni de service ou une escalade de privilèges.
CVE-2023-20577ÉlevéUn débordement dans le module SMM peut permettre à un attaquant ayant accès à une vulnérabilité secondaire d’autoriser l’écriture dans le flash SPI, pouvant entraîner l’exécution de code arbitraire.
CVE-2023-20579ÉlevéUn contrôle d’accès incorrect dans la fonction de protection SPI d’AMD peut permettre à un utilisateur ayant un accès privilégié Ring0 (mode kernel) de contourner les protections, pouvant entraîner une perte d’intégrité et de disponibilité.
CVE-2023-20587ÉlevéUn contrôle d’accès incorrect en mode de gestion système (SMM) peut permettre aux attaquants d’accéder au flash SPI, pouvant entraîner une exécution de code arbitraire.

AMD à déjà déployé un correctif mais pas pour tous le monde

AMD vulnérabilité Zen 1-4
©AMD

Pour atténuer ces risques, AMD a rapidement réagi en déployant des correctifs. Ils visent à fournir des mesures d’atténuation pour certains processeurs AMD Ryzen, EPYC, Threadripper et Embedded. Cependant, des préoccupations subsistent quant à la disponibilité des correctifs. Notamment en ce qui concerne les produits qu’AMD dont les mise à jour ont ralenti, comme les Ryzen 5000G.

À noter que les cartes mères basées sur AM5, TRX50 et WRX90 sont sécurisées contre la faille. De plus les cartes intégrants l‘AM4 sont également protégées (Ryzen 3000 et 5000). En revanche les cartes mères ne disposant pas encore de ces versions d’AGESA sont exposées, il faut donc faire attention. Par exemple, les APU (Accelerated Processing Unit) Ryzen 4000G et 5000G ne bénéficient pas des correctifs pour l’instant.

Quoi qu’il en soit, AMD a conseillé à ses usagers de mettre à jour vers les dernières versions d’AGESA. Ce serait le meilleur moyen de garantir la sécurité du matériel. En espérant que l’entreprise ne délaisse pas ses utilisateurs et apporte rapidement une solution pour les APU qui ne sont plus ou moins mis à jour.

  • L’ensemble des processeurs Zen d’AMD sont victimes d’un problème de sécurité.
  • Les générations 1 à 4 sont vulnérables à plusieurs failles de sécurité de gravité élevée selon AMD.
  • AMD a lancé des correctifs et recommande de mettre à jour son matériel.