AMD vừa mới cho biết hiện đang có một lỗ hổng bảo mật đang làm ảnh hưởng đến một số khách hàng và những con APU ra mắt trong khoảng 2016 và 2019. Lỗi này có tên gọi là SMM Callout Privilege Escalation Vulnerability, được phát hiện bởi Danny Odler, và ghi nhận với số hiệu CVE-2020-12890. Thông qua việc sử dụng quyền hạn cao, kẻ gian sẽ can thiệp vào AGESA microcode nằm trong firmware UEFI của nền tảng để thực thi các đoạn mã mà hệ thống sẽ không thể nào nhận biết được. AMD dự kiến tung ra bản cập nhật AGESA để vá lỗ hổng này (mà không làm ảnh hưởng đến hiệu năng) cho các hãng bo mạch chủ và OEM vào cuối tháng 6/2020. Một số nền tảng gần đây hơn thì đã “miễn nhiễm” với lỗ hổng này.
Cụ thể về lỗ hổng SMM Callout Privilege Escalation Vulnerability thì kẻ gian sẽ cần có quyền truy cập cấp cao để can thiệp vào các hệ thống AMD. Một khi đã có được quyền truy cập thì kẻ gian sẽ thay đổi AGESA (AMD Generic Encapsulated Software Architecture) để thực thi các đoạn mã mà hệ điều hành sẽ không thể phát hiện được, từ đó trục lợi cho bản thân. AMD khuyến cáo người dùng nên cập nhật thiết bị với bản vá mới nhất ngay khi có thể để tránh trường hợp bị kẻ gian tấn công, lấy cắp dữ liệu.
Việc vi xử lý bị dính lỗ hổng là một điều khó thể nào tránh khỏi, nhưng trong khi Intel mỗi lần vá lỗi CPU là hiệu năng bị ảnh hưởng nghiêm trọng thì lỗi này của AMD sau khi vá xong thì dự kiến sẽ không ảnh hưởng đáng kể đến hiệu năng. Đó là chưa kể CPU Intel bị vướng nhiều lỗi mà CPU AMD không hề bị, hoặc có nhưng mức độ ảnh hưởng không nghiêm trọng bằng.
Nguồn: TechPowerUp
