AMD發現影響Zen 1、2、3、4 CPU的新漏洞，BIOS緩解措施已發布

AMD披露了其所有Zen CPU世代中的新BIOS端漏洞，該漏洞尤其影響SPI連接，危及安全性。

跨CPU架構出現漏洞並不令人意外，但這次AMD顯然發現了更大的漏洞，影響了更廣泛的消費者群體，而這次漏洞的嚴重性也被列為高。此外發現的漏洞也從主機板的BIOS進入；因此此事確實很敏感，根據AMD的說法上述後果包括觸發任意程式碼等等。

具體來說AMD提到該漏洞分為四種不同的危害，它依賴於搞亂您的SPI接口，這可能導致惡意活動，例如拒絕服務、執行任意程式碼和繞過系統的完整性。AMD描述了多個CVE中的漏洞，您可以在下面查看他們的發現，以了解其代價有多大：

CVE        嚴重性        CVE 說明

• CVE-2023-20576        高的AGESA中資料真實性驗證不充分可能會允許攻擊者更新SPI ROM數據，從而可能導致拒絕服務或權限升級。
• CVE-2023-20577        高的SMM 模組中的堆溢位可能允許攻擊者利用第二個漏洞，從而能夠寫入SPI快閃記憶體，從而可能導致任意程式碼執行。
• CVE-2023-20579        高的AMD SPI保護功能中的存取控制不當可能會允許有Ring0（核心模式）特權存取的使用者繞過保護，從而可能導致完整性和可用性的損失。
• CVE-2023-20587        高的系統管理模式 (SMM) 中的不當存取控制可能允許攻擊者存取SPI快閃記憶體，從而可能導致任意程式碼執行。
  

不過好消息是為了避免上述漏洞的影響，AMD建議消費者更新到該公司已經推出的最新AGESA版本。

新版本針對所有AMD Ryzen CPU 系列以及AMD EPYC、Threadripper和Embedded系列的緩解措施，這表明只要您將正確的AGESA版本加載到系統中，就不會產生太大影響。然而特定的型號（例如Ryzen 4000G和5000G APU）尚未在各自的主機板中收到緩解更新，這可能會引起擔憂。這主要取決於主機板廠商。儘管如此我們相信新的AGESA版本很快就會被採用。

消息來源