Vulnerabilidade no UEFI para processadores AMD pode permitir a execução de código no nível SMM

A empresa AMD anunciou o trabalho que visa eliminar a vulnerabilidade Chamada SMM (CVE-2020-12890), cujo uso permite que você assuma o controle da interface UEFI e execute a execução de código no nível do Modo de Gerenciamento do Sistema.

Um ataque usando esta vulnerabilidade requer acesso físico ao sistema com direitos de administrador. A exploração bem-sucedida da vulnerabilidade fornece acesso à interface AGESA (AMD Generic Encapsulated Software Architecture) para execução adicional de código arbitrário que não pode ser detectado no sistema operacional.

Segundo relatos, a vulnerabilidade foi descoberta no código que faz parte do UEFI e é executado no modo SMM (Ring-2), que é de alta prioridade e tem acesso ilimitado à memória do sistema. A vulnerabilidade pode fazer parte de um ataque no qual os invasores a usam para ignorar o modo de inicialização segura UEFI Secure Boot e injetar código malicioso invisível ao sistema no SPI Flash.

A mensagem diz que a vulnerabilidade é causada por um erro no código SMM. Sua exploração pode permitir que invasores gravem dados arbitrários na SMRAM interna e os executem como código com direitos SMM. A vulnerabilidade afeta algumas APUs (AMD Fusion) para sistemas embarcados e de usuário, lançadas entre 2016 e 2019.

Atualmente, os desenvolvedores da AMD já passaram o firmware atualizado para os fabricantes de placas-mãe, nos quais o problema mencionado foi resolvido. Até o final deste mês, o firmware atualizado será entregue a todos os fabricantes de placas-mãe cujos produtos são afetados pela vulnerabilidade.

avalanche

Postagens recentes

A Netflix Coreia vazou a data de lançamento de Cyberpunk: Edgerunners 2.

Assim que a gigante do streaming Netflix confirmou a data de lançamento da série de…

7 horas atrás

Contrariando a tendência: a Amazon aumentou em um terço a capacidade de RAM do seu tablet Fire HD 10.

O Fire HD 8, lançado em 2024, é a mais recente adição à linha de…

8 horas atrás

A Valve publicou instruções para criar um painel com tela E Ink para a Steam Machine.

A Valve liberou os arquivos do projeto Inkterface — um painel frontal faça-você-mesmo com tela…

8 horas atrás

Os desenvolvedores de Ghostrunner adorariam trabalhar em Ghostrunner 3, mas há um porém.

Em vez de um possível Ghostrunner 3, os desenvolvedores do estúdio polonês One More Level…

9 horas atrás

A Anthropic quer se tornar uma empresa farmacêutica – os medicamentos serão desenvolvidos por IA.

No evento "The Briefing: AI for Science", a Anthropic anunciou o Claude Science, um novo…

10 horas atrás