セキュリティ

AMDが50個の脆弱性を修正するセキュリティパッチを配布、Intelは25個


2021年11月9日、AMDがWindows 10向けグラフィックスドライバーの脆弱性27個、Epycプロセッサの脆弱性22個、μProfの脆弱性1個の計50個の脆弱性を修正しました。対するIntelもWi-Fi製品関連の脆弱性10個など、計25個の脆弱性を修正しています。

AMD reveals an Epyc security 50 flaws, Intel has 25 • The Register
https://www.theregister.com/2021/11/12/amd_and_intel_flaws/

AMD fixes dozens of Windows 10 graphics driver security bugs
https://www.bleepingcomputer.com/news/security/amd-fixes-dozens-of-windows-10-graphics-driver-security-bugs/

新たにAMDがWindows 10向けグラフィックスドライバーについて配布したセキュリティパッチは、計27個の脆弱性を修正するもの。うち18個が「重大性:高」と認定されており、中には特権昇格やサービス拒否(DoS)、カーネルメモリに対する任意書き込み、不正コード実行、メモリ破壊、情報漏洩などを可能にする脆弱性が含まれています。


この27個の脆弱性に割り当てられた共通脆弱性識別子(CVE)は以下。

CVE-2020-12902、CVE-2020-12891、CVE-2020-12892、CVE-2020-12893、CVE-2020-12894、CVE-2020-12895、CVE-2020-12898、CVE-2020-12901、CVE-2020-12903、CVE-2020-12900、CVE-2020-12929、CVE-2020-12960、CVE-2020-12980、CVE-2020-12981、CVE-2020-12982、CVE-2020-12983、CVE-2020-12985、CVE-2020-12986、CVE-2020-12962、CVE-2020-12904、CVE-2020-12905、CVE-2020-12964、CVE-2020-12987、CVE-2020-12920、CVE-2020-12899、CVE-2020-12897、CVE-2020-12963

それぞれの詳細は、以下から確認可能です。

AMD Graphics Driver for Windows 10 | AMD
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1000


また、AMDは計22個の脆弱性を修正するEpycプロセッサ向けのセキュリティパッチも配布しました。一連の脆弱性の中には、SPI ROM保護のバイパスや任意コード実行などを可能にするものが含まれています。これらのCVE識別子は以下。

CVE-2020-12954、CVE-2020-12961、CVE-2021-26331、CVE-2021-26335、CVE-2021-26315、CVE-2020-12946、CVE-2020-12951、CVE-2021-26336、CVE-2021-26337、CVE-2021-26338、CVE-2021-26320、CVE-2020-12944、CVE-2020-12988、CVE-2021-26329、CVE-2021-26330、CVE-2021-26321、CVE-2021-26323、CVE-2021-26325、CVE-2021-26326、CVE-2021-26322、CVE-2021-26327、CVE-2021-26312

こちらの詳細は、以下から確認可能です。

AMD Server Vulnerabilities – November 2021 | AMD
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1021


また、μProfツールに関する脆弱性「CVE-2021-26334」に関するセキュリティパッチも配布されました。この脆弱性は特権の低いユーザーが特権昇格を行ったり、リング0コードを実行したりする可能性があるものでした。詳細は以下。

Potential Improper Access Control Vulnerability in AMD μProf Tool | AMD
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1016


他方、Intelも計25個の脆弱性を修正する一連のセキュリティパッチ11月9日に配布しています。Intelが発行する独自の脆弱性識別子による、今回修正された脆弱性が以下。

INTEL-SA-00393、INTEL-SA-00481、INTEL-SA-00482、INTEL-SA-00509、INTEL-SA-00524、INTEL-SA-00528、INTEL-SA-00533、INTEL-SA-00535、INTEL-SA-00538、INTEL-SA-00540、INTEL-SA-00547、INTEL-SA-00551、INTEL-SA-00554、INTEL-SA-00555、INTEL-SA-00556、INTEL-SA-00557、INTEL-SA-00560、INTEL-SA-00562、INTEL-SA-00564、INTEL-SA-00565、INTEL-SA-00566、INTEL-SA-00567、INTEL-SA-00568、INTEL-SA-00569、INTEL-SA-00584

中でも「重大度:高」とされたものは以下の通り。

INTEL-SA-00509:IntelのWi-Fi製品に含まれる10個の脆弱性を総合したもので、特権昇格・サービス拒否・情報開示を可能にする。
INTEL-SA-00535:複数のIntel製SSDに影響するCVE-2021-0148を指すもの。ファームウェアのログファイルに情報を挿入して特権ユーザーにローカルファイルを介した情報開示を可能にする。
INTEL-SA-00528:PentiumやCeleron、Atomシリコンに関する特権昇格。
INTEL-SA-00562:不正BIOSによって、2016年製のIntel Coreシリーズや2013年製のCeleronの一部で特権昇格を可能にする。

それぞれの脆弱性は、以下から参照可能です。

Security Center
https://www.intel.com/content/www/us/en/security-center/default.html

この記事のタイトルとURLをコピーする

・関連記事
AMDが「Windows 11でRyzenプロセッサのパフォーマンスが最大15%低下する問題」を修正するチップセットドライバーを配布 - GIGAZINE

「Windows 11におけるAMD Ryzenプロセッサの性能低下」問題の次期アップデートでの解決をMicrosoftが報告 - GIGAZINE

「Windows 11でAMD製CPUのパフォーマンスが低下する問題」が更新プログラムでさらに悪化 - GIGAZINE

「Intelの脆弱性情報の開示が遅すぎた」ことでLinux開発者が大変な目に遭っていたことが発覚 - GIGAZINE

in セキュリティ, Posted by log1k_iy

You can read the machine translated English article here.