Две уязвимости позволяют обойти защитную функцию AMD SEV

Две уязвимости позволяют обойти защитную функцию AMD SEV

Две уязвимости позволяют обойти защитную функцию AMD SEV

Компания AMD, один из крупнейших производителей процессоров, опубликовала информацию о двух уязвимостях, позволяющих обойти защитную функцию SEV (Secure Encrypted Virtualization, надёжная зашифрованная виртуализация). Задача SEV — изолировать виртуальные машины и гипервизор, но бреши нивелируют этот механизм.

Уязвимости получили идентификаторы CVE-2020-12967 и CVE-2021-26311. Описания дыр можно найти в исследованиях «SEVerity: Code Injection Attacks against Encrypted Virtual Machines» и «undeSErVed trust: Exploiting Permutation-Agnostic Remote Attestation».

Если киберпреступники задействуют выявленные уязвимости в кибератаках, им удастся внедрить вредоносный код на виртуальную машину даже при активированной защите. Известно, что проблема затрагивает процессоры линейки AMD EPYC: первое, второе и третье поколения.

Владельцам 3-го поколения повезло больше, поскольку риск эксплуатации уязвимостей можно минимизировать с помощью функции SEV-SNP.

Первая брешь — CVE-2020-12967 — как раз допускает выполнение произвольного кода из-за недостаточной защищённости таблицы в AMD SEV/SEV-ES. А CVE-2021-26311 позволяет модифицировать память.

QR вместо документов: у Госуслуг появилось приложение для проверки данных

В семействе Госуслуг пополнение: появилось приложение «Госкан». Оно нужно сотрудникам организаций и ИП, чтобы проверять данные граждан по QR-кодам из приложений «Госуслуги», «Госуслуги Авто» и Цифрового ID в МАКС. Сценарий простой: человеку нужно подтвердить возраст, статус или наличие льгот — он показывает QR-код в одном из поддерживаемых приложений.

Сотрудник сканирует его через «Госкан» и видит результат проверки на своём экране. Без ксерокопий, диктовки паспортных данных и вечного «а покажите ещё что-нибудь».

Чтобы сотрудник мог пользоваться приложением, организация или ИП должны выдать ему машиночитаемую доверенность на Госуслугах. После входа в «Госкан» она подтянется автоматически. Если доверенности нет, приложение не станет делать вид, что всё нормально, а попросит сначала оформить МЧД.

Отдельный плюс для тех, кто работает сразу с несколькими компаниями или ИП: «Госкан» поддерживает несколько машиночитаемых доверенностей. Между ними можно переключаться прямо в приложении, без надоедливого выхода из аккаунта и повторного входа.

Важный момент — данные гражданина не сохраняются на устройстве сотрудника. После проверки доступ к ним не остаётся. То есть приложение показывает результат здесь и сейчас, а не превращает телефон проверяющего в маленький архив чужих персональных данных.

Пока «Госкан» доступен только на Android. Скачать приложение можно в RuStore, Google Play и AppGallery.

RSS: Новости на портале Anti-Malware.ru