Společnost AMD nově potvrdila, že byly nalezeny tři nové bezpečnostní chyby, které se týkají softwaru Ryzen Master a vedle něj i Radeon Software Adrenalin, čili ovladačů pro grafické karty. Co s tím?
AMD před týdnem informovalo o chybě zvané CreateAllocation (CVE-2020-12911) ze 7. října, která se týká ovladačů Radeon Software Adrenalin. To pak platí i pro včera zmíněný Escape Handler (CVE-2020-12933) a vedle toho tu pak máme prostě zvanou AMD Ryzen Master Driver Vulnerability (CVE-2020-12928).
Dvě nejnovější chyby, o nichž se dozvídáme dnes, ovšem byly už vyřešeny v rámci nejnovějších dostupných verzí ovladačů Radeon a utility Ryzen Master. Pokud jde ale o CreateAllocation, ta bude vyřešena až někdy v prvním kvartálu příštího roku s nástupem nových ovladačů.
CreateAllocation i Escape Handler objevili v Cisco Talos a dle dostupných informací může mít jejich zneužití za následek jednak celkovou havárii systému do nechvalně známé modré obrazovky smrti a především pak únik dat z kernelu Windows OS. V případě CreateAllocation jde o zneužití vhodně formulovaného požadavku v rámci D3DKMTCreateAllocation a pro Escape Handler zase platí požadavek D3DKMTEscape.
AMD Ryzen Master Driver Vulnerability (CVE-2020-12928) už je vyřešena v nejnovější verzi 2.2.0.1543 a šlo o klasický případ eskalace práv, kdy někdo s uživatelskými právy získá systémová práva. Dle AMD musí útok přijít jedině ze strany dalšího procesu, který běží na stejném systému, čili nepotvrdila se možnost vzdáleného útoku.
