AMD: Microcode Signature Verification Vulnerability

Bug

A grsecurity csapat hívta fel a figyelmet a Google Security Team által fogott AMD mikrokód kezelési sérülékenységre:

A Google Biztonsági Csapata biztonsági sebezhetőséget azonosított néhány AMD Zen alapú processzorban. Ez a sebezhetőség lehetővé teszi, hogy egy támadó, aki helyi rendszergazdai jogosultságokkal rendelkezik, rosszindulatú mikrokód-patcheket töltsön be (a kihasználásához a felhasználónak rendszergazdai jogosultsággal kell rendelkeznie egy VM-en kívül).

[...]

A Google 2024. szeptember 25-én értesítette az AMD-t a sérülékenységről. Az AMD 2024. december 17-én embargó alá eső javítást biztosított ügyfeleinek. Az AMD-vel való koordinálás érdekében a Google egyedi kivételt alkalmazott a szokásos sérülékenység-közlési irányelvéből, és a nyilvános bejelentést 2025. február 3-ára tolta. A közlemény 46 nappal az AMD javításának megosztása után és 131 nappal a Google eredeti jelentése után történt. A részletek 2025. március 5-én lesznek közzétéve.

Részletek itt.

( ricsip v | 2025. 02. 04., k – 18:55 )

Gugli milyen jófej, h. kivételesen hagyott 130 nap for-t az amd-nek. Hogy az ügyfeleknek is legyen 40 napjuk peccselni és tesztelni. Nem ám azért, mert fut egy csilliárd epyc a datancenterjeikben sajátmaguknak is, és hát csak nem szarnak a saját portájuk elé.

Bezzeg ha xeon-ban lenne hasonló bug, még aznap publikálták volna :)

Maradjunk annyiban h. valószínűleg guglinak most fájt vóna házon belül h. a nagy batár epyc rendszereik is érintettek voltak. Ezért nagy kegyesen behazudták h. a "közjó érdekében" halasztják a nyilvánosságra hozatalt, csak hogy be tudják fejezni a sepregetést a saját házuk táján. Szarnak azok a közjóra. Amikor nekik fáj, akkor látszatjótékonykodnak.

Nem védem a mikroszoftot, mert egy ugyanolyan tetű szarházi banda mint a google (msrc posztok jönnek tömegével a szeku riszörcsölőktől, hogyan nullázzák le a fejpénzüket mindenféle kamu indokokkal, miután megkapták a lényeges infót). De a projectzero is ugyanekkora álszent fasz banda. Mennyivel nagyobb az érintettsége a föld teljes IT állományát tekintve egy RCE windows szerver bugnak, vs egy konkrét epyc családot érintő bugnak? Aztàn az amd-vel kivételezgetnek, a mikroszoftnak meg odaszúrnak amikor csak tudnak.

Úgy érted egy olyan "konkrét epyc családot érintő bugnak", amihez ring 0 from outside a VM jogosultság kell? Lehet hogy félreértek valamit, de nekem nem úgy tűnik, hogy ez olyasmi, amit egy shodannal felfegyverkezett scriptkiddie hamar ki tudna használni. Értem ez alatt azt, hogy most nem dobnám el a kávémat, hogy úristenazonnal.

A működő felelős közlés - 90 napos szabály, embargózott részletek, nyomásgyakorlás a vendorokra, P0 csapat stb. -, aminek a kidolgozója a Google volt, erről szól. Ez nem szívesség az AMD-nek, mással is így járnak el.

https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.h…

trey @ gépház

Nem a 90 napos határidő az engedmény. Hanem ha nekik úgy hozza a saját érdekük, akkor meghosszabbítják. Ameddig csak kell. Ha meg a mikroszoft orra alá kell szarni, akkor időzítve van a már megírt cikk publikáló szkript h. 90nap0mp után automatikusan teregesse a szennyest. Hiába kommunikál velük a mikroszoftos bagázs h. lécci még 10 napig tartsátok a szátokat mert nem értünk a végére a melónak.

( dejo v | 2025. 02. 05., sze – 11:28 )

Szerkesztve: 2025. 02. 05., sze – 12:08

Szerencsére az ASRok a Deskmini X300 alaplaphoz szeptember óta több frissítést is adott ki.
Ma este telepítem is a legutóbbi decemberit, ami valószínűleg már tartalmazza a javítást, talán már valamelyik korábbi verzióban is.

Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( lacesz v | 2025. 02. 05., sze – 21:03 )

Fullra kitiltanám a linux kernelből radeonostol atistol mindenestől...