AMD ha rilasciato un importante aggiornamento (i Driver Adrenalin 20.1.1) per le proprie schede grafiche marchiate Radeon, ma la cosa strana è che con questa patch sono state sistemate ben quattro vulnerabilità gravi… senza che la cosa venga citata nel changelog.

Le quattro vulnerabilità sono catalogate da Talos Intelligence con i nomi CVE-2019-5124CVE-2019-5146CVE-2019-5147 e CVE-2019-5183. Queste vulnerabilità sono abbastanza gravi, e possono portare all’esecuzione di codice remoto oppure causare un fenomeno di Denial of Service, capace anche di interrompere l’esecuzione di una macchina virtuale se correttamente eseguito.

Queste vulnerabilità possono essere sfruttate tramite shader code appositamente manomesso, il quale è capace di sfruttare dei bug nel compilatore degli shader. Proprio per questo per sfruttare queste criticità è sufficiente anche una pagina internet WebGL contenente applicazioni in 3D che vengono elaborate dalla propria GPU.

Il fatto che AMD non abbia specificato che i nuovi driver sistemino queste criticità è abbastanza grave, in quanto utenti non informati potrebbero decidere di non scaricare l’aggiornamento per qualsivoglia motivo e rimanere così vulnerabili da attacchi malevoli. Per cui, se ancora non avete aggiornato le vostre schede grafiche AMD con la nuova patch, fatelo subito!