「AMD Radeon」シリーズのグラフィックスドライバーに複数の脆弱性
AMDはグラフィックスドライバーのセキュリティ情報を公開。9件の脆弱性修正やアップデート方法が記載されている。
脆弱性は様々なAMD製品に影響し、具体的な影響範囲や対処方法はAMDのセキュリティアドバイザリを確認することが推奨されている。
一般ユーザーは最新のAMD Softwareをアップデートすればよい。
米AMDは8月13日(現地時間)、同社製グラフィックスドライバーに関するセキュリティ情報を公開した。以下の9件の脆弱性が修正されている(括弧内は深刻度の評価)。
・CVE-2021-26367:x86環境でTMRs(Trusted Memory Regions)の設定を破壊できる(5.7、Medium)
・CVE-2023-20509:PMFW(電源管理ファームウェア)におけるDRAMアドレスの検証が不十分で、データ整合性が失われる可能性(5.2、Medium)
・CVE-2023-31310:PMFWの入力検証不備で不正なコマンド送信が可能(5.0、Medium)
・CVE-2023-20510:PMFWにおけるDRAMアドレスの検証が不十分で、データ破損やサービス拒否につながる恐れ(4.7、Medium)
・CVE-2023-20513:PMFWにおける境界チェックが不十分で、不正なメッセージ送信によるサービス拒否につながる恐れ(3.4、Low)
・CVE-2023-31304:SMUにおける入力検証が不適切で、特権を持つ攻撃者がPCIeレーン数と速度を変更できる(2.3、Low)
・CVE-2023-31307:PMFWにおける配列インデックスの検証が不十分で、境界外メモリ読み取りが可能(2.3、Low)
・CVE-2023-20512:PMFWにハードコードされたAES鍵が含まれている場合、特権を持つ攻撃者がその鍵にアクセスできる(1.9、Low)
・CVE-2023-31305:PMFWで予測可能な初期化ベクトル(IV)が生成される。情報漏洩の可能性(1.9、Low)
これらの脆弱性は、「AMD Radeon RX 6000」「AMD Radeon PRO W6000」シリーズなどに影響する。「AMD Radeon RX 7000」「AMD Radeon PRO W7000」シリーズは「CVE-2023-20509」のみ影響する。
詳しい影響範囲や対処方法については、同社のセキュリティアドバイザリを参照のこと。一般的なユーザーであれば、「AMD Software: Adrenalin Edition」をv23.12.1へアップデートすればよい。
