Il BIOS è un software integrato sulla scheda madre del computer. Si trova su un chip EEPROM (Electrically Erasable Programmable Read-Only Memory) o su una flash ROM e ha il compito di fornire le istruzioni di base necessarie per avviare la macchina. Queste istruzioni includono il controllo iniziale dell’hardware, la verifica e l’inizializzazione dei componenti essenziali come CPU, memoria RAM e periferiche di input/output.
AMD ha appena confermato l’esistenza di quattro vulnerabilità nei processori basati su architettura Zen, dai primi modelli fino ai più recenti Zen 4. Le falle di sicurezza in questione sono rilevanti perché colpiscono l’interfaccia SPI (Serial Peripheral Interface), che connette la CPU al chip sulla scheda madre dove è memorizzato il BIOS.
Perché le vulnerabilità a livello di bus SPI sono importanti nel caso dei processori AMD Zen
Come si legge nel comunicato firmato da AMD, le lacune di sicurezza possono consentire a eventuali utenti malintenzionati di porre in essere attacchi DoS (Denial of Service), acquisire privilegi più elevati e persino eseguire codice arbitrario. Quest’ultima minaccia è particolarmente di rilievo anche se, per l’esecuzione di codice malevolo, è per l’aggressore necessaria la disponibilità fisica del sistema della vittima.
Non tutti i chip AMD coinvolti possono contare su versioni del BIOS aggiornate per correggere il problema e scongiurare rischi di attacco.
La risoluzione delle vulnerabilità coinvolge l’aggiornamento dell’AGESA (AMD Generic Encapsulated Software Architecture), parte integrante del BIOS. La società guidata da Lisa Su ha già rilasciato nuove versioni di AGESA per quasi tutti i suoi processori. Tuttavia, non tutti i produttori di schede madri hanno ancora provveduto a distribuire i nuovi aggiornamenti con l’AGESA corretto.
Quali sono i processori e le schede madri coinvolti
La nota di AMD riporta esplicitamente le versioni di AGESA patchate per diverse serie di processori, insieme alla disponibilità per i produttori di schede madri. Ad esempio, per i processori Ryzen 5000, AGESA 1.2.0.B è disponibile già dal 25 agosto 2023.
Esaminando le tabelle condivise dal produttore di Sunnyvale, tuttavia, appare evidente che per proteggere i propri sistemi dalla falla Zenbleed, della quale abbiamo parlato a luglio 2023, è necessaria la versione 1.2.0.C di AGESA. E non è una problematica da sottovalutare perché vulnerabilità che mettono a rischio i dati personali e le credenziali degli utenti possono essere estratte anche da remoto servendosi di codice JavaScript, senza utilizzare privilegi elevati.
AMD fornisce anche le informazioni sulle versioni di AGESA per i processori EPYC, Threadripper e Ryzen Embedded, oltre che evidentemente per i più mainstream Ryzen.
La società statunitense sottolinea che potrebbe passare del tempo prima che le nuove versioni di AGESA raggiungano effettivamente le schede madri degli utenti finali. Per i processori EPYC, Embedded e Mobile, in particolare, è difficile stabilire quali motherboard offrano un BIOS con l’ultima versione.
Nel caso dei processori Ryzen e Threadripper consumer, invece, è più facile ottenere informazioni sulle versioni AGESA disponibili controllando il contenuto dei siti Web dei principali produttori di motherboard, come ASUS, ASRock, Gigabyte e MSI.
L’immagine in apertura è tratta dal sito AMD.