Уязвимость Sinkclose существует с 2006 года, но ее обнаружили лишь в прошлом году. Уязвимость затрагивает многочисленные системы AMD. Информацию о Sinkclose обнародовали в прошлом месяце, поэтому у AMD было достаточно времени, чтобы ее закрыть. Уязвимость зарегистрировали под номером CVE-2023-31315 и присвоили высокий класс опасности. В настоящее время для многочисленных систем AMD уже выпустили обновления AGESA, которые устраняют эту брешь в системе безопасности. Поэтому пользователям следует как можно скорее установить обновление BIOS с обновленной версией AGESA. Ниже мы подробно рассмотрим затронутые процессоры и версии AGESA.
Начнем с самой уязвимости Sinkclose. Она позволяет злоумышленнику выполнить вредоносный код через SMM (System Management Mode) в самом процессоре, который навсегда заражает систему, то есть очистка невозможна и, следовательно, заражение необратимо. SMM невидим для самой операционной системы и отвечает за управление командами ввода/вывода, различными системными командами, а также за управление энергопотреблением. SMM работает как в процессорах AMD, так и Intel, хотя процессоры Intel не подвержены этой уязвимости.
Чтобы злоумышленник смог воспользоваться уязвимостью, систему AMD следует скомпрометировать таким образом, чтобы получить доступ с наивысшими привилегиями в режим ядра (Ring 0) операционной системы. Над режимом ядра находится режим гипервизора (Ring 1), а над ним – SMM в Ring 2.
С упомянутыми привилегиями злоумышленник может внедрить в SMM вредоносный код. Это могут быть руткиты или шпионские программы. Проблема в том, что полный сброс BIOS с помощью Clear CMOS или даже переустановка операционной системы не помогут. Вредоносный код будет постоянно, а это значит, что пострадавший пользователь должен сменить аппаратную систему. Причем если система уже заражена, проверить это невозможно.
Сама AMD опубликовала бюллетень безопасности, посвященный этой бреши.
Затронутые платформы и версии AGESA, исправляющие уязвимость
В таблице ниже показано, что уязвимость затрагивает все процессоры AMD, начиная с Zen(1) и заканчивая Zen4(c). Только новые процессоры Ryzen 9000 для сокета AM5 с архитектурой Zen 5 защищены от этой уязвимости по умолчанию.
| Epyc 7001 | Naples | Zen | SP3 (LGA4094) | NaplesPI 1.0.0.M |
| Epyc 7002 | Rome | Zen 2 | SP3 (LGA4094) | RomePI 1.0.0.J |
| Epyc 7003 | Milan(-X) | Zen 3 | SP3 (LGA4094) | MilanPI 1.0.0.D |
| Epyc 8004 | Siena | Zen 4c | SP5 (LGA6096) | GenoaPI 1.0.0.C |
| Epyc 9004 | Genoa(-X), Bergamo | Zen 4(c) | SP5 (LGA6096) | GenoaPI 1.0.0.C |
| Epyc 4004 | Raphael(-X) | Zen 4 | AM5 (LGA1718) | ComboAM5PI 1.2.0.1 (?) |
| Ryzen 1000 | Summit Ridge | Zen | AM4 (PGA1331) | Исправления не будет |
| Ryzen 2000G | Raven Ridge | Zen | AM4 (PGA1331) | Исправления не будет |
| Ryzen 2000 | Pinnacle Ridge | Zen+ | AM4 (PGA1331) | Исправления не будет |
| Ryzen 3000G | Picasso | Zen+ | AM4 (PGA1331) | Исправления не будет |
| Ryzen 3000 | Matisse | Zen 2 | AM4 (PGA1331) | ComboAM4v2PI 1.2.0.Cc |
| Ryzen 4000(G) | Renoir(-X) | Zen 2 | AM4 (PGA1331) | ComboAM4v2PI 1.2.0.Cb |
| Ryzen 5000(G) | Vermeer(-X), Cezanne | Zen 3 | AM4 (PGA1331) | ComboAM4v2PI 1.2.0.Cb |
| Ryzen 7000 | Raphael(-X) | Zen 4 | AM5 (LGA1718) | ComboAM5PI 1.2.0.1 |
| Ryzen 8000(G) | Phoenix | Zen 4(c) | AM5 (LGA1718) | ComboAM5PI 1.2.0.1 |
| Ryzen Threadripper 1000 | Whitehaven | Zen | TR4 (LGA4094) | Исправления не будет |
| Ryzen Threadripper 2000 | Colfax | Zen+ | TR4 (LGA4094) | Исправления не будет |
| Ryzen Threadripper (Pro) 3000 | Castle Peak | Zen 2 | sTRX4/sWRX8 (LGA4094) | CastlePeakPI-SP3r3 1.0.0.B CastlePeakWSPI-sWRX81.0.0.D (Pro) |
| Ryzen Threadripper Pro 5000 | Chagall | Zen 3 | sWRX8 (LGA4094) | ChagallWSPI-sWRX8 1.0.0.8 |
| Ryzen Threadripper (Pro) 7000 | Storm Peak | Zen 4 | sTR5 (LGA4844) | StormPeakPI-SP6 1.0.0.1h |
| Ryzen 3000 | Picasso | Zen+ | FP5 (BGA) | Picasso-FP5 1.0.1.2 |
| Ryzen 4000 | Renoir | Zen 2 | FP6 (BGA) | RenoirPI-FP6 1.0.0.E |
| Ryzen 5000 | Lucienne, Cezanne, Barcelo | Zen 3 | FP6 (BGA) | CezannePI-FP6 1.0.1.1 |
| Ryzen 6000 | Rembrandt | Zen 3+ | FP7 (BGA) | RembrandtPI-FP7 1.0.0.B |
| Ryzen 7020 | Mendocino | Zen 2 | FT6 (BGA) | MendocinoPI-FT6 1.0.0.7 |
| Ryzen 7035 | Rembrandt-R | Zen 3+ | FP7 (BGA) | RembrandtPI-FP7 1.0.0.B |
| Ryzen 7040 | Phoenix, Hawk Point | Zen 4(c) | FP8 (BGA) | PhoenixPI-FP8-FP7 1.1.0.3 |
| Ryzen 7045 | Dragon Range | Zen 4(c) | FL1 (BGA) | DragonRangeFL1 1.0.0.3e |
Изначально AMD планировала исправить уязвимость Sinkclose только для основной настольной платформы, начиная с Ryzen 4000(G), а процессоры Ryzen 3000 (Matisse, Zen 2) проигнорировала. Однако после того, как в адрес AMD прозвучали многочисленные (обоснованные) критические замечания, компания пошла на уступки и предоставила исправление и для этой серии. Однако Ryzen 1000 (Summit Ridge, (Zen (1)) и Ryzen 2000 (Pinnacle Ridge, Zen+) проигнорировали, они не получат обновления. Это касается и Ryzen Threadripper, а также Ryzen 2000G (Raven Ridge, Zen) и Ryzen 3000G (Picasso, Zen+). То есть обновления с исправлением Sinkclose выпустили в сегменте настольных компьютеров, начиная с архитектуры Zen 2.
В серверной платформе обновление получат все версии, начиная с Zen. Однако многочисленные мобильные CPU также получат обновление AGESA. В таблице мы указали версию AGESA, закрывающую уязвимость Sinkclose.
OEM-производители должны предоставить обновления BIOS
Как известно, AMD поставляет обновления AGESA не напрямую конечным потребителям, а только OEM-производителям. То есть для получения важного обновления BIOS с соответствующей версией AGESA пользователи зависят от OEM-производителей. Между тем для корпоративного сегмента это обновление является очень приоритетным.
Наш форумчанин подготовил онлайн-документ Google специально для платформы AM5. В нем он приводит версии AGESA, а также дает ссылки на соответствующие файлы BIOS для четырех самых крупных производителей материнских плат. ASUS, например, уже выпустила финальные версии BIOS с AGESA 1.2.0.1a для материнских плат X670(E) и B650(E).
У ASRock еще нет даже бета-версий, Gigabyte во второй бета-волне, а MSI предлагает бета-версию BIOS с AGESA 1.2.0.1 для всех материнских плат AM5. Всем пользователям рекомендуют установить финальное обновление BIOS с AGESA 1.2.0.1 или выше, как только оно станет доступно.
Мы рекомендуем ознакомиться с нашим FAQ по выбору материнской платы, в котором мы ответим на многие вопросы, возникающие у пользователей: какой формат предпочесть? На каком сокете и чипсете? Какие интерфейсы должны быть на материнской плате? Имеет ли смысл доплачивать за дополнительные функции? И что нужно настраивать в BIOS (UEFI)? Конечно, мы ответим и на многие другие вопросы.
Мы рекомендуем ознакомиться с нашим руководством по выбору материнских плат AMD, где мы рекомендуем лучшие модели за свою цену.