Quatre failles patchées chez AMD, dans un silence des plus total

Si mettre à jour ses pilotes graphiques est une étape souvent effectuée dans le but de gagner en performances sur un titre récent ou corriger un fâcheux bug graphique, le processus est parfois porteur de surprises. Point de malheur rendant votre machine inutilisable ici, mais une faille de sécurité qu’AMD a vraisemblablement cherchée à passer sous le tapis. 

En effet, la mise à jour 20.1.1 (qui remonte tout de même à ce 10 décembre dernier) n’apportait pas que sa poignée de rustines, elle corrigeait également pas moins de 4 vulnérabilités dont une carrément critique. Toutes concernent ATIDXX64.dll, les trois premières — CVE-2019-5124, CVE-2019-5146 et CVE-2019-5147 — permettant « seulement » un déni de service... quand la quatrième CVE-2019-5183 permet aussi l’exécution arbitraire de code via l’utilisation frauduleuse de la VTABLE des shaders : le genre de chose qui n’est pas du tout à voir d’un bon œil !

Toutes ces failles se basent sur l’abus de l’interpréteur HLSL — High-Level Shading Language, un langage de programmation proche de l’assembleur utilisé pour DirectX — qui, non content de traduire le code pour s’exécuter sur votre accélérateur graphique, effectue au passage diverses optimisations... d’où ces trous exploitables.  Notez par ailleurs que ces failles sont exploitables depuis une machine virtuelle (causant ainsi le crash du pilote hôte), par n’importe quelle application pouvant accéder au GPU, et ainsi potentiellement un script web via WebGL. Pour le moment, seule la RX 550 a été testée (et VMWare Workstation 15 pour s’échapper d’un système virtualisé), mais il n’y a pas de raison particulière pour que les failles leur soient réservées. Protégez-vous, mettez à jour ! (Source : Talos Intelligence via TechPowerUp)