За последние 7 дней AMD сообщил о трех уязвимостях в своем программном обеспечении. На прошлой неделе компания рассказала о проблеме CreateAllocation в драйверах видеокарт Radeon. Вчера производитель процессоров и видеокарт сообщил о двух новых "дырах" сразу. Одна из них связана с драйверами видеокарт Radeon, другая — с программным обеспечением Ryzen Master для тонкой настройки работы процессоров Ryzen.
Что касается CreateAllocation (CVE-2020-12911), то данная уязвимость может быть вызвана непривилегированными учетными записями. Исследование показало, что специально созданный запрос API D3DKMTCreateAllocation может вызвать чтение за пределами диапазона и привести к падению системы и синему экрану смерти. На данный момент AMD не смог исправить эту проблему. Решение этой проблемы займет много времени. Ожидается, что обновление, устраняющее данную уязвимость, будет выпущено не ранее, чем в первом квартале следующего года.
Еще одна проблема была найдена в графическом драйвере Radeon Software Adrenalin 2020 Edition. Он назывался EscapeHandle (CVE-2020-12933). AMD указывает, что данная уязвимость также может привести к "голубому экрану смерти", но в отличие от CreateAllcation, производитель уже выпустил обновление драйвера, которое исправляет данную проблему.
Третья уязвимость CVE-2020-12933 была обнаружена в программном обеспечении AMD Ryzen Master для разгона и настройки процессоров Ryzen. Она позволяет любому авторизованному пользователю получить системные привилегии, даже если у него их нет. Компания уже выпустила обновление Ryzen Master 2.2.0.1543, которое исправляет эту проблему.
Источник изображения: VideoCardz
Две из трех уязвимостей были обнаружены специалистами по безопасности Cisco Talos.