Обичайна практика е разработчиците и изследователите по информационна сигурност да докладват откритията си на доставчиците на компрометирани продукти, за да могат да коригират недостатъците. Едва след това се оповестява информация за тях. През септември миналата година Google откри уязвимости в процесорите EPYC от сървърния клас на AMD, които принадлежат към архитектурите Zen до Zen 4.

Както отбелязват авторите на бюлетина, откритата уязвимост позволява на нападателите с права на локален администратор да изтеглят злонамерени пачове за микрокод, да стартират злонамерен софтуер на виртуалните машини на жертвата и да получат достъп до данните му. Уязвимостта възниква, защото процесорът използва несигурна хеш-функция, когато проверява подписа на актуализациите на микрокода. Тази уязвимост може да бъде използвана от нападателите за компрометиране на чувствителните изчислителни натоварвания, защитени от най-новата версия на AMD Secure Encrypted Virtualization, SEV-SNP, или за компрометиране на Dynamic Root of Trust Measurement.

Сървърните процесори EPYC Naples, Rome, Milan и Genoa бяха изложени на риск, но Google предостави цялата информация, необходима за коригиране на уязвимостта чрез поверителни канали на 25 септември миналата година, след което AMD успя да разпространи необходимите актуализации на своите клиенти до 17 декември.

След като отделиха време, необходимо за клиентите на AMD относно пълното отстраняване на уязвимостите, Google съобщи за уязвимостта на страниците на GitHub. За допълнителна защита на клиентите на AMD, представители на Google обещаха да покажат допълнителни подробности относно уязвимостта и инструменти за работата с нея не по-рано от 5 март тази година.