AMD Ryzen Master và Radeon Software dính lỗ hổng bảo mật

Intel trong vòng 2 năm trở lại đây đã phải dính nhiều vấn đề khủng hoảng về truyền thông, khi mà hãng phải đương đầu với nhiều lỗ hổng bảo mật. Chẳng hạn trước đây giới công nghệ phải “giật mình” trước hai lỗ hổng đình đám Spectre và Meltdown mà các vi xử lý Intel mắc phải.

Phần lớn những lỗi này đã được Intel khắc phục bằng phần mềm, nhưng còn khá nhiều CPU thế hệ cũ vẫn chưa được vá lỗi.  Gần đây nhất Intel lại dính thêm lỗ hổng CrossTalk (CVE-2020-0543) trên các vi xử lý của họ, các bản vá lỗi Spectre và Meltdown không có tác dụng với CrossTalk nên hacker có thể tấn công bất kì nhân nào trong vi xử lý.

Intel như vậy, còn AMD thì sao? Tất nhiên là AMD cũng chẳng thể nào thoát khỏi tình cảnh trên, khi mà mới đây họ liên tiếp bị phát hiện ba lỗ hổng bảo mật / sự cố chỉ trong một tuần.

Vào ngày 7 tháng 10, AMD đã báo cáo về sự cố “CreateAllocation”, một lỗi tiềm ẩn về bảo mật trong trình điều khiển (driver) đồ họa AMD.  Đã hơn 1 tuần kể từ khi lỗ hổng bảo mật được phát hiện, AMD vẫn chưa đưa ra bản vá sửa lỗi cho vấn đề này và dự kiến ​​bản vá sẽ có mặt mãi tới tận quý 1 / 2021.

Hôm nay AMD đã báo cáo về một vấn đề khác được phát hiện trong trình điều khiển đồ họa của họ (Radeon Software Adrenalin) được gọi là “EscapeHandler”. Sự cố mới có thể dẫn đến màn hình xanh chết choc, tuy nhiênkhông giống như CreateAllcation, sự cố này đã được khắc phục với bản cập nhật trình điều khiển gần đây.

Vấn đề thứ ba ảnh hưởng đến AMD Ryzen Master, công cụ ép xung và tinh chỉnh cho các vi xử lý AMD Ryzen. Sự cố có thể cho phép người dùng được xác thực nâng cấp từ người dùng lên quản trị hệ thống. AMD đã xác nhận vấn đề và cung cấp một bản sửa lỗi trong Ryzen Master 2.2.0.1543.

Điều đáng chú ý là hai trong số các lỗ hổng được phát hiện bởi các nhà nghiên cứu bảo mật Cisco Talos.

Lỗ hổng CreateAllocation (CVE-2020-12911) – 7/10/2020

Cisco Talos – tập hợp của các nhà nghiên cứu bảo mật, cộng tác viên cho AMD đã công bố một lỗ hổng tiềm ẩn mới trong trình điều khiển card đồ họa AMD, có thể dẫn đến lỗi màn hình xanh chết chóc.

AMD cho biết, các thông tin bí mật lẫn chức năng của hệ thống không bị ảnh hưởng lâu dài và người dùng có thể giải quyết vấn đề bằng cách khởi động lại máy tính. AMD có kế hoạch phát hành các bản cập nhập trình điều khiển card đồ họa để giải quyết vấn đề này trong quý đầu tiên của năm 2021.

Nghiên cứu cho thấy rằng một yêu cầu API D3DKMTCreateAllocation được chế tạo đặc biệt có thể gây ra việc đọc và từ chối dịch vụ (BSOD) nằm ngoài giới hạn. Lỗ hổng này có thể được kích hoạt từ các tài khoản không có quyền quản trị.

Lỗ hổng trình điều khiển AMD Ryzen Master ™ (CVE-2020-12928) - 13/10/2020

Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng bảo mật tiềm ẩn ảnh hưởng đến AMD Ryzen ™ Master có thể cho phép tài khoản thông thường của người dùng có thể nâng cấp lên thành quản trị hệ thống. AMD đã tiến hành phát hành bản sửa lỗi AMD Ryzen Master 2.2.0.1543 để giải quyết vấn đề này.

Lỗ hổng Escape Handler  (CVE-2020-12933)- 13/10/2020

Cisco Talos – các nhà nghiên cứu bảo mật, cộng tác viên của AMD đã công bố một lỗ hổng tiềm ẩn mới trong trình điều khiển card đồ họa AMD, có thể dẫn đến màn hình xanh chết chóc. Sự cố đã được giải quyết trong Radeon ™ Software Adrenalin 2020 Edition.

Một yêu cầu D3DKMTEscape được chế tạo đặc biệt có thể gây ra việc đọc vượt quá giới hạn trong vùng bộ nhớ nhân hệ điều hành Windows. Lỗ hổng này có thể được kích hoạt từ một tài khoản không có quyền quản trị.