AMD-Software: Schwachstellen in Grafiktreiber und Ryzen Master

AMD warnt vor einer Schwachstelle im Adrenalin-Grafiktreiber, die zu Abstürzen sowie den sogenannten Bluescreens of Death (BSoD) führen kann und erst 2021 mit einem Bugfix geschlossen werden soll. Auch Ryzen Master hatte seine Probleme, ein neues Update schafft hier Abhilfe.

Schwachstelle im Treiber kann zu Bluescreens führen

Das Sourcefire Vulnerability Research Team der Sicherheitsabteilung Cisco Talos des Netzwerkausrüster Cisco hat die Sicherheitslücke im AMD-Grafiktreiber für Windows respektive dessen Datei ATIKMDAG.SYS, dem ATI Radeon Kernel Mode Driver Package, gefunden.

Die Sicherheitslücke CVE-2020-12911 ist offiziell mit einer CVSSv3-Bewertung von 7,1 (Hoch – Stufe 4 von 5) eingestuft worden. In einem Sicherheitsreport gehen die Sicherheitsexperten von Cisco Talos detailliert auf die Lücke im Treiber ein.

This vulnerability can be triggered by executing the D3DKMTCreateAllocation function with malformed data. This leads to an out-of-bounds read vulnerability in AMD ATIKMDAG.SYS driver.

Cisco Talos

Demnach können Angreifer die Schwachstelle über einen gezielten Angriff per API-Abfrage der D3DKMTCreateAllocation ausnutzen.

An attacker can influence the read address for the movzx operation by modifying the payload for the D3DKMTCreateAllocation function, potentially leading to an out-of-bound read vulnerability and denial of service.

Cisco Talos

Bugfix erst im ersten Quartal 2021

Einen entsprechenden Bugfix für die Sicherheitslücke, die Cisco Talos bereits am 7. Juli 2020 an den Hersteller gemeldet hat, wird AMD aber voraussichtlich erst im 1. Quartal 2021 zur Verfügung stellen.

AMD believes that confidential information and long-term system functionality are not impacted, and that the user can resolve the issue by restarting the computer. AMD plans to issue updated graphics drivers to address the issue in the first quarter of 2021.

AMD

Anders als die Sicherheitsexperten von Cisco Talos geht AMD nicht von einem großen Einfluss auf die Sicherheit von vertraulichen Informationen sowie der Funktionalität des Treibers aus.

Eine weitere Sicherheitslücke mit der Kennung CVE-2020-12933 betrifft ebenfalls den Radeon-Grafiktreiber, wurde von AMD jedoch bereits geschlossen.

Weitere Informationen hat AMD auf seiner Website für Produktsicherheit veröffentlicht.

AMD behebt Schwachstelle im Ryzen Master

AMD hat zudem bekanntgegeben, die Schwachstelle CVE-2020-12928 in seinem OC- und Monitoring-Tool Ryzen Master mit der Version 2.2.0.1543 geschlossen zu haben.

In der Zwischenzeit steht der Ryzen Master bereits in der Version 2.3.0.1591 zur Verfügung, weshalb Anwender mit einer älteren Version definitiv ein Update durchführen sollten.