Ce début d'année est marqué pour AMD par une belle salve de failles trouvées dans ses CPU Ryzen et Epyc. Le fournisseur de puces a ainsi annoncé, avec l'aide de plusieurs chercheurs en sécurité travaillant notamment chez Apple, Google, Microsoft ou encore Oracle, l'identification de 31 vulnérabilités - dont cinq de niveau élevé - dans ses processeurs pour serveur Epyc et trois concernant ses puces pour PC. A noter que parmi elles, la CVE‑2021‑26316 de sévérité élevée est commune aux deux types de CPU AMD. Selon un descriptif, celle-ci concerne un échec de validation de tampon et de service de communication dans le Bios ouvrant la voie à de leur compromission et de l'exécution de code arbitraire au niveau du SMM (System Management Mode).
« En collaboration avec divers tiers, les plate-formes AMD ont été auditées pour les risques de sécurité potentiels. Des vulnérabilités potentielles dans AMD Secure Processor (ASP), AMD System Management Unit (SMU) et d'autres composants de plate-forme ont été découvertes et sont atténuées dans les packages logiciels AGESA PI associés aux processeurs AMD Athlon, Ryzen et Threadripper », a expliqué le fournisseur dans un bulletin de sécurité. Dans une autre alerte, le fournisseur indique aussi avec identifié des failles affectant aussi plusieurs composants dont Secure Encrypted Virtualization (SEV) dans des packages logiciels Agesa PI de ses puces Epyc.
Les fabricants OEM dans la boucle
AMD indique avoir travaillé avec les OEM pour contourner les 31 failles découvertes, qui vont nécessité d'appliquer des mises à jour au niveau des Bios des cartes mères. Les vulnérabilités concernent par exemple les puces pour PC de la série Ryzen 2000 (Pinnacle Ridge), ainsi que les gammes APU des séries 2000 et 5000 qui sont livrées avec des GPU intégrés (Raven Ridge, Cezanne). En outre, les processeurs Threadripper HEDT et Pro des séries 2000 et 3000 sont aussi concernés, ainsi que de nombreuses puces mobiles Ryzen des séries 2000, 3000, 5000, 6000, et Athlon 3000.