AMD, 31 nuove vulnerabilità per le sue CPU, ci sono sia Ryzen che EPYC

Se Apple ha corretto oltre corretto oltre 30 vulnerabilità con iOS 16.2 prima del nuovo anno, il 2023 si apre con un aggiornamento anticipato da parte di AMD, pubblicato in virtù dell'elevato numero di problematiche individuate sulle sue CPU.

Il lungo elenco coinvolge processori sia consumer che enterprise, dai Ryzen agli EPYC, anche con modelli discretamente recenti. Si parte dai Ryzen 2000 Series, incluse APU, Pinnacle Ridge e varianti mobile, ma sono coinvolti anche altri modelli laptop come le Serie 3000, 5000, 6000 e Athlon 3000. Inoltre, all'appello rispondono anche le APUY Ryzen 5000 e i Threadripper HEDT e varianti Pro, sia Serie 2000 che 3000.

Una sola vulnerabilità viene considerata come particolarmente severa, mentre altre due sono di livello inferiore ma non meno importanti. Il comune denominatore è la via di attacco, ovvero tramite BIOS e bootloader.

Altre 28 vulnerabilità, invece, riguardano direttamente i processori EPYC, con quelle ad alta pericolosità che permettono l'esecuzione di codice arbitrario da remoto e una che addirittura permette la scrittura (e quindi potenziale perdita) di dati in specifici settori.

Purtroppo, le patch non sono attualmente disponibili tramite AGESA per tutte le vulnerabilità e per tutti i modelli. Per esempio, i Ryzen 3000 e 5000 desktop risultano attualmente scoperti del tutto, così come Raven Ridge (Ryzen 2000 mobile) e Rembrandt (Ryzen 6000 mobile).
La buona notizia è che le mitigazioni non sembrano influire sulle performance, al contrario di quanto avvenuto con l'incubo Spectre e Meltdown.