Linux первым закрыл дыру в AMD Zen 5 — уязвимость EntrySign нейтрализована
BIOS-патчи только начинают выходить, а ядро уже блокирует вредоносный микрокод.
Недавно исследователи Google раскрыли уязвимость в проверке подписи микрокода процессоров AMD, получившую название EntrySign. Она позволяет пользователям с локальными правами администратора загружать вредоносные патчи микрокода, обходя механизмы защиты. Изначально считалось, что под угрозой находятся только архитектуры Zen 1–4, однако теперь стало известно, что уязвимость затрагивает и новейшие чипы Zen 5.
Компания AMD уже начала выпускать обновления BIOS, которые устраняют эту проблему. Обновления выходят как для серверных процессоров EPYC, так и для настольных чипов Ryzen, включая недавно представленные модели Ryzen 9900. Одновременно с этим в ядро Linux добавлен патч, блокирующий применение неподписанных патчей микрокода на Zen 5. Это особенно важно для тех, кто пока не получил обновление BIOS от производителя.
В сообщении к патчу разработчики предупреждают: «Все машины на базе Zen5 должны получить обновления BIOS с актуальными патчами микрокода. Однако находятся энтузиасты, которые вырезают произвольные фрагменты микрокода из BIOS и думают, что этим делают всем услугу…»
Именно поэтому в ядро Linux внесены изменения , предотвращающие загрузку неофициальных и потенциально опасных микрокодов. Это расширяет уже существующую защиту, применявшуюся к Zen 1–4.
AMD опубликовала подробности уязвимости на своем сайте AMD.com . Ожидается, что патч будет включён в основной код ядра Linux в ближайшие дни.