De acordo com essa prática, desenvolvedores e pesquisadores no campo da segurança da informação informam aos fornecedores de produtos comprometidos sobre suas descobertas, para que tenham a oportunidade de eliminar as lacunas. Somente depois disso as informações sobre eles são divulgadas. Em setembro do ano passado, o Google encontrou vulnerabilidades nos processadores EPYC da AMD da classe de servidor relacionados às arquiteturas Zen 4.

Fonte da imagem: AMD

Conforme observado pelos autores da votação, a vulnerabilidade encontrada permitiu aos atacantes os direitos de um administrador local para carregar os patches maliciosos do microcódigo, lançar software malicioso nas máquinas virtuais da vítima e obter acesso aos seus dados. A vulnerabilidade é que o processador use uma função de hash insegura ao verificar as assinaturas de assinatura do microcódigo. Essa vulnerabilidade pode ser usada pelos invasores para comprometer as cargas de trabalho de computação confidencial, protegidas pela versão mais recente da virtualização criptografada da AMD, SEV-SNP ou por comprometer a raiz dinâmica da medição de confiança.

Os processadores de servidores Epyc Nápoles, Roma, Milão e Gênova estavam em risco, mas os especialistas do Google transferiram todas as informações necessárias para eliminar a vulnerabilidade a canais confidenciais em 25 de setembro do ano passado, após o que em 17 de dezembro, a AMD conseguiu distribuir as atualizações necessárias entre seus clientes.

Tendo supondo a pausa da AMD necessária para a eliminação total das vulnerabilidades, o Google relatou a vulnerabilidade encontrada nas páginas do GitHub. Para proteger adicionalmente os clientes da AMD, os representantes do Google prometeram detalhes adicionais sobre a vulnerabilidade e as ferramentas para trabalhar com ele não antes de 5 de março deste ano.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *