AMD: Microcode Signature Verification Vulnerability

Bug

A grsecurity csapat hívta fel a figyelmet a Google Security Team által fogott AMD mikrokód kezelési sérülékenységre:

A Google Biztonsági Csapata biztonsági sebezhetőséget azonosított néhány AMD Zen alapú processzorban. Ez a sebezhetőség lehetővé teszi, hogy egy támadó, aki helyi rendszergazdai jogosultságokkal rendelkezik, rosszindulatú mikrokód-patcheket töltsön be (a kihasználásához a felhasználónak rendszergazdai jogosultsággal kell rendelkeznie egy VM-en kívül).

[...]

A Google 2024. szeptember 25-én értesítette az AMD-t a sérülékenységről. Az AMD 2024. december 17-én embargó alá eső javítást biztosított ügyfeleinek. Az AMD-vel való koordinálás érdekében a Google egyedi kivételt alkalmazott a szokásos sérülékenység-közlési irányelvéből, és a nyilvános bejelentést 2025. február 3-ára tolta. A közlemény 46 nappal az AMD javításának megosztása után és 131 nappal a Google eredeti jelentése után történt. A részletek 2025. március 5-én lesznek közzétéve.

Részletek itt.

( ricsip v | 2025. 02. 04., k – 18:55 )

Gugli milyen jófej, h. kivételesen hagyott 130 nap for-t az amd-nek. Hogy az ügyfeleknek is legyen 40 napjuk peccselni és tesztelni. Nem ám azért, mert fut egy csilliárd epyc a datancenterjeikben sajátmaguknak is, és hát csak nem szarnak a saját portájuk elé.

Bezzeg ha xeon-ban lenne hasonló bug, még aznap publikálták volna :)

Maradjunk annyiban h. valószínűleg guglinak most fájt vóna házon belül h. a nagy batár epyc rendszereik is érintettek voltak. Ezért nagy kegyesen behazudták h. a "közjó érdekében" halasztják a nyilvánosságra hozatalt, csak hogy be tudják fejezni a sepregetést a saját házuk táján. Szarnak azok a közjóra. Amikor nekik fáj, akkor látszatjótékonykodnak.

Nem védem a mikroszoftot, mert egy ugyanolyan tetű szarházi banda mint a google (msrc posztok jönnek tömegével a szeku riszörcsölőktől, hogyan nullázzák le a fejpénzüket mindenféle kamu indokokkal, miután megkapták a lényeges infót). De a projectzero is ugyanekkora álszent fasz banda. Mennyivel nagyobb az érintettsége a föld teljes IT állományát tekintve egy RCE windows szerver bugnak, vs egy konkrét epyc családot érintő bugnak? Aztàn az amd-vel kivételezgetnek, a mikroszoftnak meg odaszúrnak amikor csak tudnak.