AMD, Ryzen Master yazılımında, potansiyel olarak bir rakibin etkilenen makinenin tam kontrolünü ele geçirmesine olanak verebilecek yüksek önem dereceli bir güvenlik açığı olduğunu açıkladı. Değişen voltajlara ve saat hızlarına gerçek zamanlı olarak erişim, AMD Ryzen Master’ın sistem üzerinde ayrıntılı kontrol gerçekleştirmeyi mümkün kılan birçok özelliğinden biridir. Diğer yetenekler şunları içerir: Her bir AMD Ryzen CPU’daki çarpanın kilidi fabrikadan açılır ve işlemcinin performansını kendi tercihlerinize göre uyarlamanıza olanak tanır. AMD, bu önemli avantajdan yararlanmak için AMD Ryzen Master uygulamasını sunuyor. AMD Ryzen Master, sürekli genişleyen CPU ürün ve özelliklerini desteklemek için geliştirilirken, kullanıcı arabirimi de bu genişlemeye uyum sağlayacak şekilde geliştirildi ve süreç giderek daha karmaşık hale geldi. Yükleme sırasında yetersiz izin doğrulaması nedeniyle, CVE tanımlayıcısı CVE-2022-27677 olarak atanan AMD Ryzen Master uygulaması, yerel olarak yetkili bir saldırganın sistemde rasgele kod çalıştırmasını mümkün kılabilir. Bir düşman, dikkatli bir şekilde tasarladıkları kurulum dosyalarını kullanırsa, daha yüksek ayrıcalıklara sahipken sistemde rasgele kod yürütmek için bu sorunu kullanabilir.
Önem derecesi 7,2 (Yüksek) olan bu güvenlik açığı, bir saldırganın sistemin tüm denetimini ele geçirmesine olanak sağlayabilir. AMD, sorunun Ryzen Master yükleme işlemi sırasında bir kullanıcının ayrıcalık düzeyinin doğrulanmamasından kaynaklandığını belirtiyor. AMD’nin sorunla ilgili açıklamasına göre bu, “düşük ayrıcalıklara sahip bir saldırganın dosyaları değiştirmesine izin verebilir”, bu da “ayrıcalık yükseltmesine ve daha düşük ayrıcalıklı kullanıcı tarafından kod yürütülmesine yol açabilir”.
Bu, bir bilgisayarda düşük ayrıcalık düzeyine sahip bir kişinin, yönetici erişimi elde etmek için Ryzen Master’ın önceki bir sürümünü kullanabileceğini ve sonunda işletim sistemi içindeki önemli dosyaları değiştirerek makinenin tam kontrolünü kullanabileceğini gösterir. Bununla birlikte, yönetici konsoluna erişimi olmayan bir kişinin bir saldırıya yardımcı olmak için eski yükleme programını kullanıp kullanamayacağı henüz bilinmiyor.
CVE-2022-27677 güvenlik açığını gidermek için AMD, müşterilerin Ryzen Master yazılımlarını en son sürüm olan 2.10.1.2287 sürümüne güncellemelerini önerir. HP tarafından 2020’de bulunan (yeni sekmede açılır) ayrıcalık yükseltmeye izin veren Ryzen Master’daki daha önceki bir güvenlik açığı AMD tarafından giderildi (CVE-2020-12928). Firma, grafik kartı sürücülerinin kullanıcının izni olmadan CPU’da otomatik olarak hız aşırtma yapmasını sağlayan bir hatayı daha yeni düzeltti. Ayrıca şirket, bir ay önce yeni tespit edilen 31 güvenlik açığını açıkladı.
AMD, kullanıcıları güvenlik açığından korumak ve yazılımı güncel tutmak için en azından 2.10.1.2287 sürümüne yükseltme yapılmasını önerir. Yeni sürüm, eski sürüme göre göze çarpan birkaç ek iyileştirmeye sahiptir; bunlardan biri, maksimum çalışma sıcaklığını ayarlama desteğinin eklenmesidir. Bu, o dereceye ulaştığında kendisine tahsis edilen bir sıcaklığa ulaştığında işlemciyi yavaşlatırdı. Ayrıca, Ryzen Master artık standart çalışma voltajından çok daha yüksek olan 5,2 volttan daha yüksek bir voltaj atamanıza olanak tanıyor (ancak ne yaptığınıza aşina değilseniz bunu yapmamalısınız). Kullanıcıların büyük çoğunluğunun mevcut çipler için bu işlevselliğe ihtiyaç duymaması anlaşılabilir bir durumdur; yine de ciddi hız aşırtmacılar için yararlıdır ve gelecekteki sürümlerde kullanışlı olabilir. Tüm işlevler eski CPU’lar tarafından desteklenmez, bu da dikkat edilmesi gereken bir noktadır.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.