AMD hlásí tři bezpečnostní chyby v ovladačích Ryzen Master a Radeon Software

AMD před týdnem informovalo o chybě zvané CreateAllocation (CVE-2020-12911) ze 7. října, která se týká ovladačů Radeon Software Adrenalin. To pak platí i pro včera zmíněný Escape Handler (CVE-2020-12933) a vedle toho tu pak máme prostě zvanou AMD Ryzen Master Driver Vulnerability (CVE-2020-12928). 

 

 

Dvě nejnovější chyby, o nichž se dozvídáme dnes, ovšem byly už vyřešeny v rámci nejnovějších dostupných verzí ovladačů Radeon a utility Ryzen Master. Pokud jde ale o CreateAllocation, ta bude vyřešena až někdy v prvním kvartálu příštího roku s nástupem nových ovladačů.  

 

CreateAllocation i Escape Handler objevili v Cisco Talos a dle dostupných informací může mít jejich zneužití za následek jednak celkovou havárii systému do nechvalně známé modré obrazovky smrti a především pak únik dat z kernelu Windows OS. V případě CreateAllocation jde o zneužití vhodně formulovaného požadavku v rámci D3DKMTCreateAllocation a pro Escape Handler zase platí požadavek D3DKMTEscape. 

 

AMD Ryzen Master Driver Vulnerability (CVE-2020-12928) už je vyřešena v nejnovější verzi 2.2.0.1543 a šlo o klasický případ eskalace práv, kdy někdo s uživatelskými právy získá systémová práva. Dle AMD musí útok přijít jedině ze strany dalšího procesu, který běží na stejném systému, čili nepotvrdila se možnost vzdáleného útoku. 

 

Zdroj: AMD