AMD發現影響Zen 1、2、3、4 CPU的新漏洞,BIOS緩解措施已發布
AMD披露了其所有Zen CPU世代中的新BIOS端漏洞,該漏洞尤其影響SPI連接,危及安全性。跨CPU架構出現漏洞並不令人意外,但這次AMD顯然發現了更大的漏洞,影響了更廣泛的消費者群體,而這次漏洞的嚴重性也被列為高。此外發現的漏洞也從主機板的BIOS進入;因此此事確實很敏感,根據AMD的說法上述後果包括觸發任意程式碼等等。
具體來說AMD提到該漏洞分為四種不同的危害,它依賴於搞亂您的SPI接口,這可能導致惡意活動,例如拒絕服務、執行任意程式碼和繞過系統的完整性。AMD描述了多個CVE中的漏洞,您可以在下面查看他們的發現,以了解其代價有多大:
CVE 嚴重性 CVE 說明
[*]CVE-2023-20576 高的AGESA中資料真實性驗證不充分可能會允許攻擊者更新SPI ROM數據,從而可能導致拒絕服務或權限升級。
[*]CVE-2023-20577 高的SMM 模組中的堆溢位可能允許攻擊者利用第二個漏洞,從而能夠寫入SPI快閃記憶體,從而可能導致任意程式碼執行。
[*]CVE-2023-20579 高的AMD SPI保護功能中的存取控制不當可能會允許有Ring0(核心模式)特權存取的使用者繞過保護,從而可能導致完整性和可用性的損失。
[*]CVE-2023-20587 高的系統管理模式 (SMM) 中的不當存取控制可能允許攻擊者存取SPI快閃記憶體,從而可能導致任意程式碼執行。
不過好消息是為了避免上述漏洞的影響,AMD建議消費者更新到該公司已經推出的最新AGESA版本。
新版本針對所有AMD Ryzen CPU 系列以及AMD EPYC、Threadripper和Embedded系列的緩解措施,這表明只要您將正確的AGESA版本加載到系統中,就不會產生太大影響。然而特定的型號(例如Ryzen 4000G和5000G APU)尚未在各自的主機板中收到緩解更新,這可能會引起擔憂。這主要取決於主機板廠商。儘管如此我們相信新的AGESA版本很快就會被採用。
消息來源
頁:
[1]