Avec pas moins de quatre failles de sécurité majeures GPU, cette mise à jour AMD Adrenalin 20.1.1 est indispensable. Les failles peuvent conduire à un déni de service ou à l’exécution de code à distance. Et pourtant il n’y a aucune mention dans le changelog, la société AMD a fait cela particulièrement discrètement.
Des failles de sécurité majeures colmatées dans le secret
Pour faire les tests, la société Talos Intelligence a utilisé une carte graphique AMD Radeon RX 550, sous un système Vmware Workstation 15 (15.5.0 build-14665864) avec Windows 10 x64 comme VM invité. Pas de raison que le problème soit seulement limité à la carte graphique AMD RX 550. En effet, tous les GPU AMD sous DirectX 12 récents ont le même compilateur shader AMD et donc partage une base de code commune.
Lors de ces tests, Talos Intelligence à découvert quatre vulnérabilités dans le pilote AMD ATIDXX64.DLL version 26.20.13001.50005. Les rapports CVE-2019-5124, CVE-2019-5146, CVE-2019-5147 et CVE-2019-5183 révèlent les failles de sécurités. Pour exploiter la faille, cela se passe dans le compilateur shader. Tout d’abord, le code shader est compilé en utilisant le pilote graphique du système d’exploitation hôte. Une fois compilé, vous pouvez transmettre le code vers une VM et exécuter des graphiques 3D dans des machines virtuelles. Les failles peuvent conduire à un déni de service ou à l’exécution de code à distance.
Les quatre vulnérabilités ont été corrigées avec les pilotes AMD Adrenalin 20.1.1. Cependant, AMD ne mentionne pas les vulnérabilités dans les notes de version. Un choix discutable de la part d’AMD car personne n’est au courant que cette mise à jour corrige des problèmes de sécurité majeurs.
