AMD ha rivelato 31 nuove vulnerabilità scoperte nei suoi processori Ryzen ed EPYC nell'aggiornamento di gennaio, che include anche una lista di versioni di AGESA con le relative contromisure per i processori interessati. L’azienda ha svelato le vulnerabilità insieme ad altri ricercatori, tra cui i team di Google, Apple e Oracle, i quali hanno dato alla società il tempo necessario per sviluppare le correzioni adeguate prima di rendere tutto pubblico. Tuttavia, AMD non ha annunciato le vulnerabilità con un comunicato stampa o altre iniziative, ma ne ha semplicemente pubblicato la lista.
L’azienda di Sunnyvale ha elencato le varie revisioni di AGESA che ha inviato ai propri OEM per correggere le vulnerabilità, tuttavia la disponibilità dei nuovi BIOS varierà a seconda del produttore. Ciò significa che dovrete verificare sul sito ufficiale della vostra scheda madre o sistema completo se sono state pubblicate nuove revisioni del firmware. Al momento, non è ancora chiaro se ci saranno differenze prestazionali come abbiamo visto in precedenza con altre mitigazioni, ad esempio per Spectre e Meltdown.
Le vulnerabilità includono tre nuove varianti per processori Ryzen desktop, HEDT, Pro e Mobile. Una di queste viene indicata come ad alta gravità, mentre le altre due sono classificate come di gravità media o bassa. Possono essere sfruttate tramite hack del BIOS o un attacco sul bootloader di AMD Secure Processor (ASP) e interessano i chip desktop Ryzen 2000 Pinnacle Ridge, insieme alle linee APU 2000 e 5000 con GPU integrata (Raven Ridge, Cezanne). Inoltre, le CPU HEDT e Pro Threadripper serie 2-3000 e numerosi processori mobile Ryzen 2000, 3000, 5000, 6000 e Athlon 3000 sono coinvolti.
AMD ha elencato anche 28 vulnerabilità per i suoi processori EPYC, quattro delle quali sono ad alta gravità. Queste ultime consentono l'esecuzione di codice arbitrario attraverso vari vettori di attacco, mentre una permette la scrittura in determinate regioni che possono causare la perdita di integrità e disponibilità dei dati. I ricercatori hanno scoperto anche 15 altre vulnerabilità classificate come di gravità media e nove di bassa gravità.