请尽快升级,AMD 披露 4 个“高危”漏洞:影响 Zen 1-4 处理器

2024-02-15 14:15IT之家 - 故渊

IT之家 2 月 15 日消息,AMD 近日发布编号为 AMD-SB-7009 的安全公告,披露 4 个等级为“高危”(High)的漏洞,影响服务器、台式机、工作站、HEDT、移动和嵌入式 Zen 1-4 处理器,并推荐用户尽快安装补丁。

根据 AMD 公告信息,本次披露的 4 个“高危”漏洞均存在于双串行外设接口(SPI)中,黑客利用该漏洞可发起拒绝服务攻击,或者远程执行任意代码。

这 4 个漏洞简要介绍如下:

  • CVE-2023-20576:AGESA 验证资料真实性不充分,可能会允许攻击者更新 SPI ROM 数据,从而可能导致拒绝服务或权限升级。

  • CVE-2023-20577:SMM 模组中的堆溢位可能允许攻击者利用第二个漏洞,从而能够写入 SPI 闪存,从而导致执行任意代码。

  • CVE-2023-20579:AMD SPI 保护功能中的存取控制不当,黑客利用具有 Ring0(核心模式)特权存取的使用者绕过保护,从而可能导致完整性和可用性的损失。

  • CVE-2023-20587︰系统管理模式(SMM) 中的不当存取控制,攻击者存取 SPI 闪存,导致执行任意代码。

使用 Ryzen 3000 系列台式机 CPU、4000 系列移动 APU、嵌入式 V2000 芯片或 V3000 系统的用户在接下来的几个月中应格外警惕,因为影响这几代产品的问题尚未全部得到修补。

AMD 计划于本月晚些时候进行的更新将解决 4000 系列 APU 的漏洞;而 2024 年 3 月的 BIOS 更新将修复 3000 系列 CPU 的漏洞;4 月修复嵌入式产品。

CPU 代已修复的最低版本上线日期
1st Gen AMD EPYCNaplesPI 1.0.0.K2023-Apr-27
2nd Gen AMD EPYCRomePI 1.0.0.H2023-Nov-07
3rd Gen AMD EPYCMilanPI 1.0.0.C2023-Dec-18
4th Gen AMD EPYCGenoaPI 1.0.0.82023-Jun-09
Ryzen 3000 DesktopComboAM4 1.0.0.B2024-Mar
Ryzen 5000 DesktopComboAM4v2 1.2.0.B2023-Aug-25
Ryzen 5000 Desktop w/ RadeonComboAM4v2PI 1.2.0.C2024-Feb-07
Ryzen 7000 DesktopComboAM5 1.0.8.02023-Aug-29
Ryzen 3000 Desktop w/ RadeonComboAM4 1.0.0.B2024-Mar
Ryzen 4000 Desktop w/ RadeonComboAM4v2PI 1.2.0.C2024-Feb-07
Ryzen Threadripper 3000CastlePeakPI-SP3r3 1.0.0.A2023-Nov-21
Ryzen Threadripper Pro 3000WXChagallWSPI-sWRX8 1.0.0.72024-Jan-11
Ryzen Threadripper Pro 5000WXChagallWSPI-sWRX8 1.0.0.72024-Jan-11
Athlon 3000 Mobile w/ RadeonPollockPI-FT5 1.0.0.62023-Oct-26
Ryzen 3000 Mobile w/ RadeonPicassoPI-FP5 1.0.1.02023-May-31
Ryzen 4000 Mobile w/ RadeonRenoirPI-FP6 1.0.0.D2024-Feb
Ryzen 5000 Mobile w/ RadeonCezannePI-FP6 1.0.1.02024-Jan-25
Ryzen 7020 w/ RadeonMendocinoPI-FT6 1.0.0.62024-Jan-03
Ryzen 6000 w/ RadeonRembrandtPI-FP7 1.0.0.A2023-Dec-28
Ryzen 7035 w/ RadeonRembrandtPI-FP7 1.0.0.A2023-Dec-28
Ryzen 5000 w/ RadeonCezannePI-FP6 1.0.1.02024-Jan-25
Ryzen 3000 w/ RadeonCezannePI-FP6 1.0.1.02024-Jan-25
Ryzen 7040 w/ RadeonPhoenixPI-FP8-FP7 1.1.0.02023-Oct-06
Ryzen 7045 MobileDragonRangeFL1PI 1.0.0.3b2023-Aug-30
Eypc Embedded 3000Snowyowl PI 1.1.0.B2023-Dec-15
Epyc Embedded 7002EmbRomePI-SP3 1.0.0.B2023-Dec-15
Epyc Embedded 7003EmbMilanPI-SP3 1.0.0.82024-Jan-15
Epyc Embedded 9003EmbGenoaPI-SP5 1.0.0.32023-Sep-15
Ryzen Embedded R1000EmbeddedPI-FP5 1.2.0.A2023-Jul-31
Ryzen Embedded R2000EmbeddedPI-FP5 1.0.0.22023-Jul-31
Ryzen Embedded 5000EmbAM4PI 1.0.0.42023-Sep-22
Ryzen Embedded V1000EmbeddedPI-FP5 1.2.0.A2023-Jul-31
Ryzen Embedded V2000EmbeddedPI-FP6 1.0.0.92024-Apr
Ryzen Embedded V3000EmbeddedPI-FP7r2 1.0.0.92024-Apr

IT之家附上 AMD 官方公告链接地址,感兴趣的用户可以深入阅读。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      一大波评论正在路上
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享