AMD Ryzen Master 및 Radeon 소프트웨어 취약점

 

설상가상으로 AMD가 1주일만에 확인한 세 번째 보안 취약점이 있습니다. 10월 7일 AMD는 AMD 비디오 드라이버의 잠재인 보안 문제인 "CreateAllocation" 문제에 대해 보고했습니다. AMD는 아직 이 문제에 대한 수정을 제공하지 않았으며 2021년 1분기에 예상됩니다.

오늘 AMD는 AMD 비디오 드라이버에서 발견된 또다른 문제에 보고 (라데온 소프트웨어 아드레날린) 라는 "탈출 핸들러". 새 문제는 파란색 화면으로 만들 수 있지만 CreateAllcation과 달리 최근 드라이버 업데이트로 이미 수정되었습니다.

세 번째 문제는 AMD Ryzen 프로세서의 오버클럭 및 미세 조정 도구인 AMD Ryzen Master에 영향을 미칩니다. 이 문제로 인해 인증된 사용자가 사용자에서 체계 권한으로 승격할 수 있습니다. AMD는 이미 이 문제를 확인하고 Ryzen Master 2.2.0.1543에 긴급 수정을 제공했습니다.

Cisco Talos 정보 및 보안 전문가에 의해 두가지 취약점이 발견되었다는 점은 주목할 가치가 있습니다.

CreateAllocation (CVE-2020-12911)

 

2020년 10월 7일

 

에코 시스템 협력자인 Cisco Talos는 AMD 비디오 드라이버의 새로운 잠재적 취약성을 발표했으며 이로 인해 블루 스크린이 나타날 수 있습니다. AMD는 기밀 정보 및 장기 체계 기능이 영향을 받지 않으며 사용자가 기기를 재시작하여 문제를 해결할 수 있다고 생각합니다. AMD는 2021년 1분기에 이 문제를 해결하기 위해 업데이트된 비디오 드라이버를 출시할 계획입니다.

연구에 따르면 특별히 제작된 D3DKMTCreateAllocation API 요청으로 인해 범위를 벗어난 읽기 및 서비스 거부 (죽음의 블루 스크린)가 발생할 수 있습니다. 이 취약점은 권한이 없는 계정에서 발생할 수 있습니다.

연구자들의 지속 협력과 조정된 공개에 감사드립니다.

 

AMD Ryzen 마스터™ 드라이버 취약점 (CVE-2020-12928)

 

2020년 10월 13일

연구원은 인증된 사용자가 사용자에서 체계 권한으로 상승할 수 있도록 AMD Ryzen™ 마스터에 영향을 미치는 잠재 보안 취약점을 발견했습니다. AMD는 AMD Ryzen 마스터 2.2.0.1543에서 완화를 발표했습니다. AMD는 로컬 사용자가 AMD Ryzen™ Master를 실행하면 체계에서 이미 실행중인 권한이 없는 처리에서 공격이 이루어져야 하며 원격 공격이 입증되지 않았다고 믿습니다.

우리는 지속 협력과 조정된 공개에 대한 연구원에게 감사드립니다.

 

탈출 처리기 (CVE-2020-12933)

2020년 10월 13일

에코 체계 협력자인 Cisco Talos는 AMD 비디오 드라이버의 새로운 잠재적 취약성을 발표했으며 이로 인해 블루 스크린이 나타날 수 있습니다. 이 문제는 Radeon ™ Software Adrenalin 2020 Edition에서 해결되었습니다.

AMD는 기밀 정보와 장기 체계 기능이 영향을 받지 않으며 사용자는 기기를 재시작하여 문제를 해결할 수 있다고 믿습니다.

특별히 제작된 D3DKMTEscape 요청으로 인해 윈도우 운영 체계 커널 메모리 영역에서 범위를 벗어난 읽기가 발생할 수 있습니다. 이 취약점은 권한이없는 계정에서 트리거 될 수 있습니다.

연구자들의 지속적인 협력과 조정된 공개에 감사드립니다.

 

출처: AMD