AMD potichu opravilo čtyři závažné bezpečnostní problémy v ovladačích Radeon

Jedná se konkrétně o chyby známé pod označeními CVE-2019-5124, CVE-2019-5146, CVE-2019-5147 a CVE-2019-5183, které se týkají ovladačů AMD pro grafické karty Radeon a jejich knihovny ATIDXX64.dll. Vést pak mohou ke spuštění DoS útoku nebo až k možnosti vzdáleného spuštění kódu, přičemž hostitelský počítač může být napaden i z virtuálního stroje (otestováno pomocí VMWare) anebo z webové stránky s využitím WebGL pro spouštění 3D aplikací ve webovém prostředí.

 

Co se týče karet, bezpečnostní chyby se projevily na testovacím stroji s Radeonem RX 550 (systém Windows 10 64bit), ale není důvod se domnívat, že jde o záležitost omezující se jen na tyto karty, když jde o věc použitých ovladačů. 

 

 

Ve všech případech se pak používá stejný způsob útoku s využitím kódu, jenž zneužívá chyby ve shaderovém kompilátoru. Právě proto je možné napadnout i počítač z prostředí virtuálního stroje, neboť grafická akcelerace VMWare předá úlohu hostitelskému GPU, které ji vykoná a výsledek jde opět zpět do virtuálního stroje. 

 

CVE-2019-5124, CVE-2019-5146 a CVE-2019-5147 jsou variace na stejné téma, a sice Denial of Service (DoS), což může být využito prostě pro účel selhání grafického ovladače, čímž pak může selhat a spadnout i celý software pro virtuální stroje a s ním i všechny běžící VM.

 

Poslední jmenovaný, čili CVE-2019-5183, už je o remote code execution, čili vzdáleném spouštění kódu, což je logicky potenciálně nejnebezpečnější. Všechny čtyři chyby tak byly opraveny v rámci ovladačů Adrenalin 20.1.1, takže uživatelé mají díky tomu více důvodů na ně aktualizovat. Z poznámek o změnách a opravách se ale o nich nedozvíme. 

 

Zdroj: techPowerUp