AMD Ryzen bis 2017-01-27 AGESA Microcode FMA3 Instruction erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als kritisch eingestuft wurde, wurde in AMD Ryzen bis 2017-01-27 gefunden. Dies betrifft einen unbekannten Teil der Komponente AGESA Microcode. Mit der Manipulation durch FMA3 Instruction kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2017-7262 vorgenommen. Der Angriff muss lokal angegangen werden. Es gibt keinen verfügbaren Exploit. Diese Schwachstelle weist aufgrund ihres Hintergrunds und der Reaktionen darauf eine historische Wirkung auf.
Details
In AMD Ryzen bis 2017-01-27 wurde eine kritische Schwachstelle entdeckt. Dabei geht es um ein unbekannter Codeteil der Komponente AGESA Microcode. Mittels Manipulieren durch FMA3 Instruction kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-20. Auswirkungen hat dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
The AMD Ryzen processor with AGESA microcode through 2017-01-27 allows local users to cause a denial of service (system hang) via an application that makes a long series of FMA3 instructions, as demonstrated by the Flops test suite.Gefunden wurde das Problem am 24.03.2017. Die Schwachstelle wurde am 25.03.2017 (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter forum.hwbot.org. Die Verwundbarkeit wird seit dem 24.03.2017 als CVE-2017-7262 geführt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 14.09.2020). Die spezielle Ausprägung dieser Schwachstelle führt dazu, dass ihr ein gewisses historisches Interesse beigemessen werden kann.
Das Problem kann durch den Einsatz von Intel als alternatives Produkt mitigiert werden.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 97098†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.5
VulDB Base Score: 5.5
VulDB Temp Score: 5.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Alternative: Intel
Timeline
24.03.2017 🔍24.03.2017 🔍
24.03.2017 🔍
24.03.2017 🔍
25.03.2017 🔍
25.03.2017 🔍
14.09.2020 🔍
Quellen
Advisory: forum.hwbot.orgStatus: Nicht definiert
CVE: CVE-2017-7262 (🔍)
GCVE (CVE): GCVE-0-2017-7262
GCVE (VulDB): GCVE-100-98533
SecurityFocus: 97098 - AMD Ryzen Processor CVE-2017-7262 Local Denial of Service Vulnerability
OSVDB: - CVE-2017-7262 - AMD - Ryzen - Denial of Service Issue
Eintrag
Erstellt: 25.03.2017 20:51Aktualisierung: 14.09.2020 10:03
Anpassungen: 25.03.2017 20:51 (61), 14.09.2020 10:03 (4)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.