AMD披露了其所有ZenCPU代中的新BIOS端漏洞,该漏洞尤其影响SPI连接,危及安全性。
AMD新发现的漏洞可能会导致高级别的安全漏洞,影响各代ZenCPU,但已发布BIOS修复程序
跨CPU架构出现漏洞并不令人意外,但这一次,AMD显然发现了更大的漏洞,影响了更广泛的消费者群体,而且这次漏洞的严重性也被列为“高”。此外,发现的漏洞也从主板的BIOS进入;因此,此事确实很敏感,根据AMD的说法,上述后果包括“触发”任意代码等等。
具体来说,AMD提到该漏洞分为四种不同的危害,它依赖于“搞乱”您的SPI接口,这可能导致恶意活动,例如拒绝服务、执行任意代码和绕过系统的完整性。TeamRed描述了多个CVE中的漏洞,您可以在下面查看他们的发现,以了解其代价有多大:
CVE 严重性 CVE说明
CVE-2023-20576 高的 AGESA中数据真实性验证不充分可能会允许攻击者更新SPIROM数据,从而可能导致拒绝服务或权限升级。
CVE-2023-20577 高的 SMM模块中的堆溢出可能允许攻击者利用第二个漏洞,从而能够写入SPI闪存,从而可能导致任意代码执行。
CVE-2023-20579 高的 AMDSPI保护功能中的访问控制不当可能会允许具有Ring0(内核模式)特权访问的用户绕过保护,从而可能导致完整性和可用性的损失。
CVE-2023-20587 高的 系统管理模式(SMM)中的不当访问控制可能允许攻击者访问SPI闪存,从而可能导致任意代码执行。
不过,好消息是,为了避免上述漏洞的影响,AMD建议消费者更新到该公司已经推出的最新AGESA版本。
新版本针对所有AMDRyzenCPU系列以及AMDEPYC、Threadripper和Embedded系列的缓解措施,这表明只要您将正确的AGESA版本加载到系统中,就不会产生太大影响。意义重大。然而,特定的SKU(例如Ryzen4000G和5000GAPU)尚未在各自的主板中收到缓解补丁,这可能会引起担忧。这主要取决于主板厂商。尽管如此,我们相信新的AGESA版本很快就会被采用。