找回密碼註冊
作者: sxs112.tw
查看: 4807
回復: 0

文章分享:

+ MORE精選文章:

+ MORE活動推薦:

GEX PRO 850W玩家開箱體驗分享活動

卓越性能,超值選擇 GEX PRO 系列通過 80 PLUS 金牌認證,實現高達 ...

體驗極速WiFi 7!MSI Roamii BE Lite Mesh

第一名 guanrung1110 https://www.xfastest.com/thread-293988-1- ...

極致效能 為遊戲而生 990 PRO SSD 玩家體驗

[*]極致效能固態硬碟 [*]PCIe 4.0 速度大幅提升 [*]優化的電源效率 ...

Micron Crucial PRO D5 6400超頻版 玩家開

解銷更快的遊戲速度! 利用低延遲遊戲記憶體的強大功能 利用 Cruci ...

打印 上一主題 下一主題

[處理器 主機板] AMD發現影響Zen 1、2、3、4 CPU的新漏洞,BIOS緩解措施已發布

[複製鏈接]| 回復
跳轉到指定樓層
1#
sxs112.tw 發表於 2024-2-15 19:23:17 | 只看該作者 |只看大圖 回帖獎勵 |倒序瀏覽 |閱讀模式
AMD披露了其所有Zen CPU世代中的新BIOS端漏洞,該漏洞尤其影響SPI連接,危及安全性。

跨CPU架構出現漏洞並不令人意外,但這次AMD顯然發現了更大的漏洞,影響了更廣泛的消費者群體,而這次漏洞的嚴重性也被列為高。此外發現的漏洞也從主機板的BIOS進入;因此此事確實很敏感,根據AMD的說法上述後果包括觸發任意程式碼等等。
AMD_Ryzen_7000_Desktop_CPU_Lineup_low_res_scale_4_00x_Custom.jpeg

具體來說AMD提到該漏洞分為四種不同的危害,它依賴於搞亂您的SPI接口,這可能導致惡意活動,例如拒絕服務、執行任意程式碼和繞過系統的完整性。AMD描述了多個CVE中的漏洞,您可以在下面查看他們的發現,以了解其代價有多大:

CVE        嚴重性        CVE 說明
  • CVE-2023-20576        高的AGESA中資料真實性驗證不充分可能會允許攻擊者更新SPI ROM數據,從而可能導致拒絕服務或權限升級。
  • CVE-2023-20577        高的SMM 模組中的堆溢位可能允許攻擊者利用第二個漏洞,從而能夠寫入SPI快閃記憶體,從而可能導致任意程式碼執行。
  • CVE-2023-20579        高的AMD SPI保護功能中的存取控制不當可能會允許有Ring0(核心模式)特權存取的使用者繞過保護,從而可能導致完整性和可用性的損失。
  • CVE-2023-20587        高的系統管理模式 (SMM) 中的不當存取控制可能允許攻擊者存取SPI快閃記憶體,從而可能導致任意程式碼執行。


不過好消息是為了避免上述漏洞的影響,AMD建議消費者更新到該公司已經推出的最新AGESA版本。

新版本針對所有AMD Ryzen CPU 系列以及AMD EPYC、Threadripper和Embedded系列的緩解措施,這表明只要您將正確的AGESA版本加載到系統中,就不會產生太大影響。然而特定的型號(例如Ryzen 4000G和5000G APU)尚未在各自的主機板中收到緩解更新,這可能會引起擔憂。這主要取決於主機板廠商。儘管如此我們相信新的AGESA版本很快就會被採用。

消息來源
您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則

小黑屋|手機版|無圖浏覽|網站地圖|XFastest  

GMT+8, 2024-11-25 06:58 , Processed in 0.077800 second(s), 33 queries .

專業網站主機規劃 威利 100HUB.COM

© 2001-2018

快速回復 返回頂部 返回列表