Advanced Micro Devices 製 Windowsカーネルドライバーに IOCTL に対する不十分なアクセス制御の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は10月26日、Advanced Micro Devices製WindowsカーネルドライバーにおけるIOCTLに対する不十分なアクセス制御の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。VMwareの春山敬宏氏が報告を行っている。影響を受けるシステムは以下の通り。

・AMD Software Adrenalin Edition 23.9.2より前のバージョン（搭載製品は以下）
Graphics Cards
AMD Radeon(tm) RX 5000 Series Graphics Cards
AMD Radeon(tm) RX 6000 Series Graphics Cards
AMD Radeon(tm) RX 7000 Series Graphics Cards

Client Processors
AMD Ryzen(tm) 7045 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 7020 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 7040 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 7000 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 6000 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 7035 Series Processors with Radeon(tm) Graphics

・AMD Software PRO Edition 23.Q4より前のバージョン（搭載製品は以下）
Graphics Cards
AMD Radeon(tm) PRO W5000 Series Graphics Cards
AMD Radeon(tm) PRO W6000 Series Graphics Cards
AMD Radeon(tm) PRO W7000 Series Graphics Cards

Client Processors
AMD Ryzen(tm) 7045 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 7020 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 7040 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 7000 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 6000 Series Processors with Radeon(tm) Graphics
AMD Ryzen(tm) 7035 Series Processors with Radeon(tm) Graphics

　Advanced Micro Devices Inc. の提供する複数のWindowsカーネルドライバーには、IOCTLに対する不十分なアクセス制御の脆弱性が存在し、システム権限を持たないユーザが特定のIOCTLリクエストを送付することで、任意のハードウェアポートや物理アドレス、仮想アドレスに対する入出力が可能となり、結果としてファームウェアを消去あるいは改ざんされたり、権限を昇格されたりする可能性がある。

　JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。