AMD обещает устранить связку опасных уязвимостей в CPU в конце июня
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

AMD обещает устранить связку опасных уязвимостей в CPU в конце июня

Олег Иванов 22 Июня 2020 - 09:28
...
AMD обещает устранить связку опасных уязвимостей в CPU в конце июня

Корпорация AMD планирует устранить три серьёзных бага, затрагивающих процессоры в ноутбуках и встраиваемых системах, в конце июня. К этому времени ожидается выпуск соответствующего обновления прошивки.

Связка уязвимостей, о которых идёт речь, получила имя «SMM Callout». С помощью этих брешей атакующие могут получить контроль над UEFI-прошивкой и, как следствие, взломать компьютер пользователя.

По словам представителей AMD, проблема безопасности затрагивает небольшое количество процессоров, выпущенных между 2016 и 2019 годом — AMD Fusion.

Информация об уязвимостях появилась около десяти дней назад. 13 июня исследователь в области кибербезопасности Дэнни Одлер опубликовал пост на площадке Medium. В нём специалист описывал один из багов связки SMM Callout.

Согласно опубликованной информации, бреши затрагивают режим системного управления (System Management Mode, SMM), работающий на самом глубоком уровне процессоров AMD.

Нетрудно догадаться, что код SMM работает с максимально высокими правами в системе, именно поэтому эксплуатация выявленных уязвимостей представляет для злоумышленников особый интерес.

Успешно используя SMM Callout в атаке, киберпреступник сможет получить контроль не только над операционной системой, но и аппаратной составляющей целевого компьютера.

Эксплуатация этой связки уязвимостей требует либо физического доступа к устройству, либо использования вредоносной программы, которая запустит код с правами администратора. Процесс атаки специалист запечатлел на видео.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В GRUB2 пропатчили уязвимости, грозящие обходом UEFI Secure Boot
Татьяна Никитина 21 Ноября 2025 - 18:39
Linux Уязвимости программ Общее
В GRUB2 пропатчили уязвимости, грозящие обходом UEFI Secure Boot

Новый набор патчей для GRUB2 суммарно закрывает шесть уязвимостей, позволяющих обойти защиту UEFI Secure Boot. Пять проблем, устраненных в загрузчике, классифицируются как использование освобожденной памяти — use-after-free.

Уровень угрозы во всех случаях оценен как умеренный. Готовность исправлений для дистрибутивов Linux можно отслеживать по соответствующим записям в их трекерах.

Список уязвимостей, найденных и закрытых в GRUB2:

  • CVE-2025-61661 — запись за границами буфера при выполнении функции grub_usb_get_string(), а точнее, при обработке строк в кодировке UTF-8 и UTF-16, передаваемых при подключении USB-устройств;
  • CVE-2025-61662, CVE-2025-61663, CVE-2025-61664, CVE-2025-54770 — возможность use-after-free из-за отсутствия очистки обработчиков команд gettext, normal, normal_exit, net_set_vlan при выгрузке соответствующих модулей;
  • CVE-2025-54771 — возможность use-after-free из-за некорректного подсчета ссылок на структуры fs при выполнении grub_file_close().

Около года назад в GRUB2 устранили два десятка похожих уязвимостей. Почти все они были вызваны ошибками по памяти и позволяли обойти UEFI Secure Boot.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Число утечек данных из российских школ, колледжей и вузов выросло на 20%
Новость
Число утечек данных из российских школ, колледжей и вузов вы...
Стример потерял $32 000 из-за заражённой игры BlockBlasters в Steam
Новость
Стример потерял $32 000 из-за заражённой игры BlockBlasters...
В мессенджере MAX появился цифровой ID
Новость
В мессенджере MAX появился цифровой ID

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.