AMD ha rivelato l’esistenza di quattro vulnerabilità nei suoi processori Zen, che interessano diverse generazioni e famiglie di prodotti. La soluzione proposta prevede aggiornamenti del BIOS tramite nuove versioni di AGESA, un passo fondamentale per garantire la sicurezza degli utenti.
AMD ha pubblicato un bollettino di sicurezza che evidenzia la scoperta di quattro vulnerabilità critiche presenti nei suoi processori basati sull’architettura Zen, interessando vari modelli appartenenti alle famiglie Athlon, Ryzen, Threadripper ed EPYC. Queste vulnerabilità, che possono compromettere l’integrità dell’interfaccia SPI—un componente per la connessione con il chip di memoria flash che memorizza il BIOS sulle schede madri—sono state identificate con i codici CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 e CVE-2023-20587.
La buona notizia è che queste falle di sicurezza possono essere mitigate attraverso l’aggiornamento del BIOS, per il quale AMD sta distribuendo correzioni tramite l’aggiornamento di AGESA, il codice di base essenziale per il funzionamento del sistema. L’implementazione di queste misure di sicurezza è fondamentale, considerando che lo sfruttamento di tali vulnerabilità potrebbe permettere agli hacker di eseguire attacchi di denial-of-service (DoS), privilege escalation e esecuzione di codice arbitrario.
L’elenco dei processori vulnerabili include modelli largamente diffusi tra utenti desktop e notebook, portando alla luce la vasta portata del problema. Tra questi, figurano le serie AMD Ryzen 3000, 4000G, 5000 e 7000 (desktop), AMD Athlon 3000, Ryzen 3000, 4000, 5000, 6000, 7020, 7035, 7040 e 7045, oltre a vari modelli di Ryzen Threadripper e EPYC. È importante sottolineare che qualsiasi attacco sfruttando queste vulnerabilità richiederebbe accesso fisico al sistema, il che significa che gli utenti domestici sono potenzialmente meno a rischio rispetto a quelli in ambienti aziendali o nei data center.
La correzione di queste criticità comporta l’aggiornamento di AGESA, e AMD ha assicurato che nuove versioni del firmware sono già disponibili per la maggior parte dei suoi processori. È interessante notare che, per i chip basati su Zen 2, le patch hanno anche affrontato Zenbleed, un’altra grave vulnerabilità di sicurezza rivelata nel 2023.
L’aggiornamento del BIOS, benché critico per la sicurezza, è un processo che deve essere eseguito con cautela. Un fallimento durante l’aggiornamento può causare danni irreparabili al dispositivo, motivo per cui viene consigliato solo in presenza di attacchi mirati o di malfunzionamenti critici legati alla scheda madre. AMD, attraverso questo bollettino, ribadisce l’importanza della sicurezza dei propri utenti, incoraggiandoli ad adottare le misure preventive necessarie per proteggere i propri dispositivi e dati.
