Bollettini sulla sicurezza

AMD ha segnalato una vulnerabilità nel firmware che avrebbe potuto consentire a un hypervisor dannoso di indirizzare l'IOMMU a scrivere nella memoria guest delle istanze abilitate per AMD SEV-SNP, compromettendo l'integrità dei dati guest. Google ha implementato una mitigazione per le istanze Confidential VM vulnerabili con AMD SEV-SNP abilitato.

Che cosa devo fare?

Non è necessaria alcuna azione da parte del cliente. La mitigazione è già stata applicata alle istanze Confidential VM con AMD SEV-SNP abilitato.

Per ulteriori informazioni, consulta l'avviso di AMD AMD-SB-3016.

CVE-2023-20585

I ricercatori hanno scoperto una vulnerabilità nel firmware AMD che potrebbe consentire a un hypervisor dannoso di alterare le impostazioni del BIOS e le configurazioni di routing MMIO (Memory Mapped I/O), compromettendo la riservatezza e l'integrità delle Confidential VM con guest AMD SEV-SNP.

Google ha implementato la mitigazione che impedisce questo problema.

Che cosa devo fare?

Non è necessaria alcuna azione da parte del cliente. Le mitigazioni sono già state applicate alle istanze Confidential VM con AMD SEV-SNP.

Quali vulnerabilità vengono affrontate?

Per saperne di più, consulta l'avviso AMD AMD-SB-3034.

Un insieme di vulnerabilità di sicurezza interessa il firmware Intel® TDX. Queste vulnerabilità comprendono vari difetti, tra cui race condition (CVE-2025-30513, CVE-2025-31944), letture fuori dai limiti (CVE-2025-32007, CVE-2025-27940), utilizzo di una variabile non inizializzata (CVE-2025-32467) ed esposizione di informazioni sensibili durante l'esecuzione temporanea (CVE-2025-27572). Nel complesso, questi problemi potrebbero consentire la divulgazione di informazioni, l'escalation dei privilegi o l'interruzione del servizio. Lo sfruttamento in genere richiede l'accesso utente con privilegi sul sistema.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Sono state applicate tutte le correzioni pertinenti alla flotta di server Google. Per saperne di più, consulta l'avviso tecnico PSIRT di Intel INTEL-TA-01397.

• CVE-2025-30513
• CVE-2025-31944
• CVE-2025-32007
• CVE-2025-32467
• CVE-2025-27572
• CVE-2025-27940

È stato scoperto un difetto nell'istruzione RDSEED nei processori AMD Zen 5 (Turin). Questa istruzione viene utilizzata per generare numeri casuali crittografici. In determinate condizioni di carico del sistema, le versioni a 16 e 32 bit di RDSEED possono non riuscire in modo invisibile, il che potrebbe compromettere le applicazioni che si basano sulla generazione di numeri casuali. I clienti che utilizzano la versione a 64 bit di RDSEED non sono interessati.

Che cosa devo fare?

AMD sta esaminando la vulnerabilità.

È importante notare che il kernel Linux a 64 bit utilizza la versione sicura a 64 bit dell'istruzione RDSEED, che fornisce i numeri casuali ottenuti da /dev/[u]random. Questi numeri casuali non sono interessati da questa vulnerabilità.

Se hai un codice dell'applicazione che sintetizza numeri casuali utilizzando l'istruzione RDSEED, tieni presente che le versioni a 16 bit e 32 bit dell'istruzione non sono sicure. La versione a 64 bit dell'istruzione è sicura.

Quali vulnerabilità vengono affrontate?

Questa vulnerabilità consente a un malintenzionato di causare l'interruzione silenziosa di RDSEED, compromettendo potenzialmente la generazione di numeri casuali nelle applicazioni.

Google ha scoperto una vulnerabilità nelle CPU basate su AMD Zen che interessa le istanze Confidential VM con AMD SEV-SNP abilitato. Questa vulnerabilità consente agli aggressori con accesso root in una macchina fisica di compromettere la riservatezza e l'integrità dell'istanza Confidential VM.

Google ha applicato correzioni agli asset interessati, incluso Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. I clienti che vogliono verificare la correzione possono controllare la versione di Trusted Computing Base (TCB) nel report di attestazione della propria istanza Confidential VM con AMD SEV-SNP. Le versioni minime che mitigano questa vulnerabilità sono le seguenti:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Per ulteriori informazioni, consulta il bollettino sulla sicurezza di AMD AMD-SB-3019.

CVE-2024-56161

AMD ha comunicato a Google 3 nuove vulnerabilità del firmware (2 a rischio medio, 1 a rischio elevato) che interessano SEV-SNP nelle CPU AMD EPYC di 3ª generazione (Milan) e 4ª generazione (Genoa).

Google ha applicato correzioni agli asset interessati, incluso Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate alla flotta di server Google.

Per saperne di più, consulta l'avviso di sicurezza di AMD AMD-SN-3011.

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

Il 13 febbraio 2024, AMD ha divulgato due vulnerabilità che interessano SEV-SNP sulle CPU EPYC basate sui core Zen di terza generazione "Milan" e di quarta generazione "Genoa". Le vulnerabilità consentono agli autori di attacchi con privilegi di accedere a dati obsoleti degli ospiti o causare una perdita di integrità degli ospiti.

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate alla flotta di server Google per Google Cloud, incluso Compute Engine.

Per saperne di più, consulta l'avviso di sicurezza AMD AMD-SN-3007.

CVE-2023-31346

CVE-2023-31347