AMD heeft gereageerd op de rapporten over een reeks beveiligingsproblemen die van invloed zijn op zijn Platform Security Processor (PSP) en chipset. Het bedrijf erkent dat de bugs zijn aangetroffen. Het zal de komende weken nieuwe firmware beschikbaar stellen om de PSP-bugs op te lossen. Het gaat om vier verschillende flaw families.
De Israëlische firma CTS heeft vier afzonderlijke flaw families geïdentificeerd. Deze hebben de volgende namen gekregen: Masterkey (van invloed op Ryzen en Epyc-processors), Ryzenfall (van invloed op Ryzen, Ryzen Pro en Ryzen Mobile), Fallout (alleen op Epyc) en Chimera (van toepassing op Ryzen en Ryzen Pro-systemen met behulp van de Promonotory-chipset).
Masterkey, Ryzenfall en Fallout zijn allemaal problemen met de Platform Security Processor (PSP), een kleine ARM-kern die in de chips is geïntegreerd om bepaalde aanvullende functies te bieden, zoals een op firmware gebaseerde TPM-beveiligingsmodule. De PSP heeft een eigen firmware en besturingssysteem dat onafhankelijk van de hoofd-x86-CPU werkt.
Deze attacker kan de geheimen van de PSP onthullen. Hierdoor wordt de integriteit van de firmware-TPM, het gecodeerde virtuele geheugen van AMD en verschillende andere platformfuncties ondermijnd. De Masterkey-bug is erger volgens een bericht op Arstechnica.com. De PSP controleert namelijk niet op correcte wijze de integriteit van de firmware. Een systeem waarmee een schadelijke firmware kan worden geflasht, kan een kwaadwillende PSP-firmware permanent hebben geïnstalleerd, die opnieuw wordt opgestart.
De Chimera-bug is van invloed op een chipset die in veel Ryzen-systemen voorkomt. De chipset bevat een eigen ingesloten processor en firmware, en fouten in deze betekenen dat een aanvaller opnieuw niet-vertrouwde, door aanvaller bestuurde code op de chipset kan uitvoeren.
Het antwoord van AMD is vandaag de dag dat alle vier de flaw families echt zijn en zijn aangetroffen in de verschillende componenten die door CTS worden geïdentificeerd. Het bedrijf zegt dat het firmware-updates ontwikkelt voor de drie PSP-fouten. Deze oplossingen, die in de komende weken beschikbaar worden gemaakt, worden geïnstalleerd via systeemfirmware-updates.