Procesory od AMD obsahujú vážnu bezpečnostnú chybu Sinkclose

Výskumníci Enrique Nissim a Krzysztof Okupski z bezpečnostnej firmy IOActive oznámili na konferencii Defcon, že prakticky všetky mikroprocesory firmy AMD vyrobené od roku 2006 v sebe obsahujú nebezpečnú „dieru“.

Chyba „zahryznutá“ hlboko v procesore

Problém sa týka takzvaného System Management Mode (SMM). Ide o špeciálny softvér, ktorý beží v procesore. Má na starosti dozerať na napájanie, vypínanie systému, ochranu pred vysokou teplotou počítača a aj správu TPM, modulu slúžiaceho na uchovávanie citlivých informácií ako šifrovacie heslá.

Vzhľadom na to, že SMM funguje veľmi blízko hardvéru, dokáže bez problémov pristupovať ku všetkým častiam systému. Operačný systém, nezávisle od toho, či ide o Windows od Microsoftu, Linux alebo hocičo iné, o existencii SMM nevie. Počítačový kód bežiaci v rámci SMM ho tak dokáže nenápadne ovplyvňovať. Takúto aktivitu „nevidí“ ani antivírusový softvér.

Na zneužitie tejto chyby je potrebné mať vysoké oprávnenia a prístup k jadru operačného systému. Závažnosť problému dokumentuje fakt, že útočník môže vytvoriť takzvaný „bootkit“ a otvoriť permanentnú „dieru“ do počítača, ktorá sa nedá odstrániť ani preinštalovaním operačného systému.

Oprava existuje, nie je pre všetkých

AMD vydalo opravu chyby pre niektoré procesory ešte predtým, ako o nej otvorene referovali výskumníci. Distribúcia prebieha prostredníctvom aktualizovaných verzií BIOS/UEFI, existuje aj rýchla možnosť nahratia opraveného mikrokódu cez operačný systém.

Najrýchlejšie boli opravené procesory série EPYC používané v serveroch. Oprava bude k dispozícii aj pre prvú generáciu „Naples“, ktorá sa na trh dostala v roku 2017.

Hoci sa chyba prejavuje vo všetkých procesoroch od AMD dodaných na trh od roku 2006, nezískajú ju všetci. V prípade procesorov pre bežné stolné počítače sa nebudú opravovať tie, ktoré patria do generácie Ryzen 3000 s kódovým menom Matisse z roku 2019. Rovnako dopadnú aj všetky staršie modely.

Opravu dostanú aj procesory pre výkonné stolné počítače Threadripper zo série 3000 s kódovým označením Castle Peak z roku 2019. Všetky novšie série budú opravené tiež.

Opravené budú aj procesory pre notebooky zo série 3000 označené Picasso z roku 2019 a novšie.

V prípade procesorov určených pre integráciu do zariadení (embedded) sa predpokladá, že oprava bude k dispozícii až v októbri. Určená bude pre procesory série V1000 z roku 2018 a novšie.