AMD corrige quatre failles de sécurité critiques sur ses processeurs
AMD vient de signaler et de corriger quatre failles de sécurité critiques affectant de très nombreux processeurs de son catalogue, notamment des Ryzen. Les utilisateurs concernés sont invités à mettre à jour le BIOS de leur PC.
Les failles de sécurité ne concernent pas seulement les logiciels et les services en ligne. Des vulnérabilités sont aussi régulièrement découvertes dans les composants physiques de nos ordinateurs, et aucun constructeur n'est épargné. Souvent complexes et difficiles à exploiter par des attaquants éventuels, elles n'en restent pas moins dangereuses et doivent être corrigées dès qu'une solution est proposée par le fabricant du matériel concerné. C'est le cas aujourd'hui d'AMD, qui vient de publier une note relative à quatre failles de sécurité considérées comme critiques et affectant un très grand nombre de ses processeurs. Heureusement, le concepteur de puces a déjà publié les correctifs nécessaires et les utilisateurs des modèles concernés peuvent protéger leur matériel en installant les mises à jour adéquates.
Processeurs AMD : quatre failles de sécurité critiques déjà corrigées
Dans une note officielle sur son propre site, l'entreprise AMD reconnaît l'existence de quatre vulnérabilités affectant ses différentes familles de processeurs pour ordinateurs portables, de bureau et pour les serveurs. Identifiées sous les codes CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 et CVE-2023-20587, les failles de sécurité concernent toute la liaison SPI (Serial Peripheral Interface), un bus de données qui relie le processeur à la carte mère. Leur exploitation peut permettre à un acteur malveillant de compromettre l'intégrité ou la disponibilité de données présentes dans la mémoire SPI, de réaliser une exécution de code arbitraire, une élévation de privilège ou encore une attaque par déni de service.
L'impact potentiel de ces failles est toutefois limité pour les ordinateurs domestiques, portables ou de bureau, car leur exploitation nécessite un accès physique à la machine visée et un très bon niveau de connaissances techniques. Les serveurs des centres de données utilisant des processeurs vulnérables ont sont en revanche plus exposés. Pour savoir si votre ordinateur est doté d'un des modèles de processeurs concernés par ces vulnérabilités, vous pouvez consulter la liste détaillée fournie par AMD dans sa note de sécurité. Dans les grandes lignes, ce sont les processeurs Ryzen de série 3000, 5000, 6000 et 7000, Athlon de série 3000, Threadripper de série 3000 et EPYC de la première à la quatrième génération qui sont affectés.
Si l'un de vos ordinateurs est concerné, pas de panique. Encore une fois, ces failles sont difficiles à exploiter et le constructeur AMD a par ailleurs déjà publié les correctifs permettant d'y remédier. Ces patchs de sécurité ne sont pas directement téléchargeables et installables, comme une mise à jour de Windows par exemple. Ces correctifs doivent être déployés par les différents fabricants de carte mère via des mises à jour du BIOS, le micro-logiciel s'occupant de l'amorçage de votre ordinateur avant le chargement du système d'exploitation. Pour effectuer cette mise à jour, rendez-vous sur le site du constructeur de votre ordinateur ou de votre carte mère, vérifiez si une nouvelle version du BIOS pour votre modèle précis a été récemment publiée et, dans l'affirmative, installez-la en suivant les instructions données par le fabricant. De plus, beaucoup de constructeurs d'ordinateurs portables intègrent aujourd'hui des outils de mise à jour automatisé du matériel, pour les pilotes et le BIOS notamment. Surveillez donc les différents utilitaires installés par le fabricant sur votre portable, et si une mise à jour comportant le mot "BIOS" vous est proposée, appliquez-la immédiatement.