p>AMD сообщила о трёх уязвимостях своего программного обеспечения за последние 7 дней. На прошлой неделе компания рассказала о проблеме CreateAllocation в драйверах видеокарт Radeon. Вчера производитель процессоров и графических карт сообщил сразу о двух новых «дырах». Одна связана с графическим драйвером Radeon, вторая — с ПО Ryzen Master для тонкой настройки работы процессоров Ryzen.

Что касается CreateAllocation (CVE-2020-12911), эта уязвимость может быть вызвана непривилегированными учётными записями. Расследование показало, что специально созданный запрос API D3DKMTCreateAllocation может вызвать чтение за пределами диапазона и привести к возникновению сбоев в системе и «синему экрану смерти». На данный момент AMD не смогла устранить данную проблему. Её решение потребует много времени. Ожидается, что обновление, устраняющее эту уязвимость, будет выпущено не ранее чем в первом квартале следующего года.

Ещё одна проблема была обнаружена в графическом драйвере Radeon Software Adrenalin 2020 Edition. Она получила название EscapeHandle (CVE-2020-12933). AMD указывает, что данная уязвимость тоже может приводить к «синему экрану смерти», но в отличие от CreateAllcation производитель уже выпустил обновление драйвера, которое устраняет эту проблему.

Третья уязвимость CVE-2020-12933 была обнаружена в программном обеспечении AMD Ryzen Master для разгона и настройки процессоров Ryzen. Она позволяет любому авторизованному пользователю получить системные привилегии, даже если пользователь ими не обладает. Компания уже выпустила обновление Ryzen Master 2.2.0.1543, которое устраняет эту проблему.

Две из трёх уязвимостей были обнаружены специалистами по безопасности Cisco Talos.