AMD、CTS Labsが開示したRyzen/EPYC向け脆弱性対応ファームを近く提供

　米AMDは20日(現地時間)、イスラエルのセキュリティ企業CTS Labsが開示したRyzen、EPYCプロセッサに存在する脆弱性に対応するファームウェアを近日提供開始すると発表した。

　今回の脆弱性は、「Zen」アーキテクチャに内包されるものではなく、先だって話題となったGoogle Project Zeroが発見した脆弱性とも関連はなく、比較的新しいAMDプロセッサに搭載されているARM Coretex-A5ベースのAMD Security Processor(PSP)の管理を行なうファームウェアに存在している。

　AMDは、今回発見された脆弱性を利用するには、管理者権限が必要であり、悪意を持ったユーザーが管理者権限を持っていた場合、今回の脆弱性とは無関係にシステムにさまざまな攻撃をしかけられると述べており、ユーザーへの実際の影響は小さいことを示している。

　また同社は、CTS LabsがAMDへの通知から24時間以内に情報を開示した点も繰り返し述べており、CTS Labsへ非難の意を示している。

　一方で、CTS Labsが指摘した脆弱性はじっさいにAMDによっても確認されており、対応ファームウェアを提供していく。

　MASTERKEYおよびPSP特権昇格と、RYZENFALLおよびFALLOUT問題に対しては、BIOSアップデートでファームウェアを更新する。これによる性能への影響はない。提供開始は数週間以内。

　CHIMERA問題は、チップセットに存在する問題であるため、チップセット開発メーカーと協業し、BIOSアップデートで性能に影響を与えることなく問題を緩和する。