请尽快升级,AMD披露4个“高危”漏洞:影响Zen 1-4处理器
IT之家 2 月 15 日消息,AMD 近日发布编号为 AMD-SB-7009 的安全公告,披露 4 个等级为“高危”(High)的漏洞,影响服务器、台式机、工作站、HEDT、移动和嵌入式 Zen 1-4 处理器,并推荐用户尽快安装补丁。
根据 AMD 公告信息,本次披露的 4 个“高危”漏洞均存在于双串行外设接口(SPI)中,黑客利用该漏洞可发起拒绝服务攻击,或者远程执行任意代码。
这 4 个漏洞简要介绍如下:
CVE-2023-20576:AGESA 验证资料真实性不充分,可能会允许攻击者更新 SPI ROM 数据,从而可能导致拒绝服务或权限升级。
CVE-2023-20577:SMM 模组中的堆溢位可能允许攻击者利用第二个漏洞,从而能够写入 SPI 闪存,从而导致执行任意代码。
CVE-2023-20579:AMD SPI 保护功能中的存取控制不当,黑客利用具有 Ring0(核心模式)特权存取的使用者绕过保护,从而可能导致完整性和可用性的损失。
CVE-2023-20587︰系统管理模式(SMM) 中的不当存取控制,攻击者存取 SPI 闪存,导致执行任意代码。
使用 Ryzen 3000 系列台式机 CPU、4000 系列移动 APU、嵌入式 V2000 芯片或 V3000 系统的用户在接下来的几个月中应格外警惕,因为影响这几代产品的问题尚未全部得到修补。
AMD 计划于本月晚些时候进行的更新将解决 4000 系列 APU 的漏洞;而 2024 年 3 月的 BIOS 更新将修复 3000 系列 CPU 的漏洞;4 月修复嵌入式产品。
CPU 代 已修复的最低版本 上线日期 1st Gen AMD EPYC NaplesPI 1.0.0.K 2023-Apr-27 2nd Gen AMD EPYC RomePI 1.0.0.H 2023-Nov-07 3rd Gen AMD EPYC MilanPI 1.0.0.C 2023-Dec-18 4th Gen AMD EPYC GenoaPI 1.0.0.8 2023-Jun-09 Ryzen 3000 Desktop ComboAM4 1.0.0.B 2024-Mar Ryzen 5000 Desktop ComboAM4v2 1.2.0.B 2023-Aug-25 Ryzen 5000 Desktop w/ Radeon ComboAM4v2PI 1.2.0.C 2024-Feb-07 Ryzen 7000 Desktop ComboAM5 1.0.8.0 2023-Aug-29 Ryzen 3000 Desktop w/ Radeon ComboAM4 1.0.0.B 2024-Mar Ryzen 4000 Desktop w/ Radeon ComboAM4v2PI 1.2.0.C 2024-Feb-07 Ryzen Threadripper 3000 CastlePeakPI-SP3r3 1.0.0.A 2023-Nov-21 Ryzen Threadripper Pro 3000WX ChagallWSPI-sWRX8 1.0.0.7 2024-Jan-11 Ryzen Threadripper Pro 5000WX ChagallWSPI-sWRX8 1.0.0.7 2024-Jan-11 Athlon 3000 Mobile w/ Radeon PollockPI-FT5 1.0.0.6 2023-Oct-26 Ryzen 3000 Mobile w/ Radeon PicassoPI-FP5 1.0.1.0 2023-May-31 Ryzen 4000 Mobile w/ Radeon RenoirPI-FP6 1.0.0.D 2024-Feb Ryzen 5000 Mobile w/ Radeon CezannePI-FP6 1.0.1.0 2024-Jan-25 Ryzen 7020 w/ Radeon MendocinoPI-FT6 1.0.0.6 2024-Jan-03 Ryzen 6000 w/ Radeon RembrandtPI-FP7 1.0.0.A 2023-Dec-28 Ryzen 7035 w/ Radeon RembrandtPI-FP7 1.0.0.A 2023-Dec-28 Ryzen 5000 w/ Radeon CezannePI-FP6 1.0.1.0 2024-Jan-25 Ryzen 3000 w/ Radeon CezannePI-FP6 1.0.1.0 2024-Jan-25 Ryzen 7040 w/ Radeon PhoenixPI-FP8-FP7 1.1.0.0 2023-Oct-06 Ryzen 7045 Mobile DragonRangeFL1PI 1.0.0.3b 2023-Aug-30 Eypc Embedded 3000 Snowyowl PI 1.1.0.B 2023-Dec-15 Epyc Embedded 7002 EmbRomePI-SP3 1.0.0.B 2023-Dec-15 Epyc Embedded 7003 EmbMilanPI-SP3 1.0.0.8 2024-Jan-15 Epyc Embedded 9003 EmbGenoaPI-SP5 1.0.0.3 2023-Sep-15 Ryzen Embedded R1000 EmbeddedPI-FP5 1.2.0.A 2023-Jul-31 Ryzen Embedded R2000 EmbeddedPI-FP5 1.0.0.2 2023-Jul-31 Ryzen Embedded 5000 EmbAM4PI 1.0.0.4 2023-Sep-22 Ryzen Embedded V1000 EmbeddedPI-FP5 1.2.0.A 2023-Jul-31 Ryzen Embedded V2000 EmbeddedPI-FP6 1.0.0.9 2024-Apr Ryzen Embedded V3000 EmbeddedPI-FP7r2 1.0.0.9 2024-Apr
