AMD выпустила обновление библиотеки AGESA для процессоров AMD Ryzen и EPYC, закрывающее свыше трёх десятков «дыр» в прошивках UEFI на ряде материнских плат. Любопытно, что компания не делала официального объявления по этому поводу: список исправленных уязвимостей опубликовали энтузиасты после его «бесшумного» появления на официальном сайте.
Три из 31 обнаруженной уязвимости затрагивают десктопные процессоры Ryzen 2000, мобильные чипы семейств Raven Ridge и Cezanne, модели серий Threadripper 2000 и 3000, а также Pro-версии Ryzen 2000, 3000, 5000, 6000 и линейку Athlon 3000. Согласно заметкам к патчу, обнаруженные «пробелы» в коде позволяют взломать прошивку материнской платы и получить доступ к пользовательскому ПК.
Ещё 28 проблем безопасности было обнаружено в системах с серверными процессорами EPYC. Три из них позволяют выполнять произвольный код на ПК жертвы, а четвёртая потенциально открывает возможность записи информации в системные разделы. 15 уязвимостей также получили статус угрозы средней степени.
В AMD нашли уязвимости совместно с Google, Apple и Oracle. Инженеры компании исправили найденные проблемы и модифицировали библиотеку AGESA. Пользователям перечисленных в этом списке чипов рекомендуется обновить прошивку UEFI до последней версии, чтобы снизить риск взлома ПК.