AMD’nin güvenli şifreli sanallaştırmasında (SEV), bir saldırganın belirli koşullar altında kötü niyetli bir CPU mikrokodunu yüklemesine izin verebilecek bir güvenlik açığı açıklanmıştır.
Kusur, olarak izlendi CVE-2024-5616110.0 üzerinden 7.2’lik bir CVSS skoru taşır, bu da yüksek şiddete işaret eder.
AMD, “AMD CPU ROM Mikrokod Yama Yükleyicisinde uygunsuz imza doğrulaması, yerel yönetici ayrıcalığına sahip bir saldırganın kötü niyetli CPU mikro kodu yüklemesine izin verebilir ve bu da AMD SEV-SNP altında çalışan gizli bir konuğun gizliliğini ve bütünlüğünü kaybedebilir.” Dedi.
Chipmaker, 25 Eylül 2024’te kusuru keşfetmek ve raporlamak için Google Security Araştırmacılar Josh Eads, Kristoffer Janke, Eduardo Vela, Tavis Ormandy ve Matteo Rizzo’ya teşekkür etti.
SEV, sanal makineleri (VMS) ve hipervizörü birbirinden izole etmek için sanal makine başına benzersiz bir anahtar kullanan bir güvenlik özelliğidir. Güvenli iç içe yazma anlamına gelen SNP, izole bir yürütme ortamı oluşturmak ve hipervizör tabanlı saldırılara karşı korunmak için bellek bütünlüğü korumalarını içerir.
AMD’ye göre, “SEV-SNP, ek VM kullanım modellerini desteklemek, kesme davranışı etrafında daha güçlü koruma sunmak ve yakın zamanda açıklanan yan kanal saldırılarına karşı daha fazla koruma sunmak için tasarlanmış birkaç ek isteğe bağlı güvenlik geliştirmeleri sunuyor.”
Ayrı bir bültende Google, CVE-2024-56161’in, bir düşmanın gizli bilgi işlem iş yüklerini tehlikeye atabileceği bir senaryoya kapıyı açan mikro kod güncellemeleri için imza doğrulamasında güvensiz bir karma işlevinin sonucu olduğunu belirtti.
Şirket ayrıca güvenlik açığını göstermek için bir test yükü yayınladı, ancak düzeltmenin “derin tedarik zinciri” boyunca yayılması için yeterli zaman verecek şekilde ek teknik detaylar daha saklandı.