Lỗ hổng leo thang đặc quyền trên Mini PC của AMD sắp có bản vá

[WhiteHat News #ID:2112]

AMD vừa thông báo đang chuẩn bị các bản vá cho lỗ hổng leo thang đặc quyền ảnh hưởng đến Chế độ quản lý hệ thống (SMM) của Giao diện firmware mở rộng hợp nhất (UEFI) (CVE-2020-12890).

Lỗ hổng này được phát hiện bởi nhà nghiên cứu Daniel Odler. Nằm trong AMD Mini PC, lỗ hổng có thể cho phép kẻ tấn công tác động đến firmware bảo mật và thực thi mã tùy ý.

Theo thông báo của AMD, các phiên bản cập nhật để khắc phục lỗ hổng sẽ được phát hành vào cuối tháng 6/2020.

Để khai thác lỗ hổng, kẻ tấn công cần có quyền truy cập vật lý hoặc quản trị đặc quyền vào một hệ thống dựa trên AMD notebook hoặc vi xử lý nhúng. Nếu có được truy cập này, kẻ tấn công có thể tác động đến Kiến trúc phần mềm đóng gói chung của AMD (AGESA) để thực thi mã tùy ý mà không bị phát hiện bởi hệ điều hành.

Theo AMD, một số bộ xử lý được phát hành từ năm 2016 đến 2019 bị ảnh hưởng bởi lỗ hổng này và hầu hết các phiên bản cập nhật của AGESA đã được phát hành cho đối tác.

AMD khuyến cáo người dùng luôn giữ cho hệ thống được cập nhật bằng cách cài đặt các bản vá mới nhất.

Theo Security Affairs​