近日,微星為旗下的AM4主機板推出了基於AGESA 1.2.0.Ca的新版BIOS,以解決Zen 2架構處理器裏的「Zenbleed」遠端執行漏洞。
去年谷歌資訊保安研究員Tavis Ormandy發現了這個安全漏洞,對應的追蹤編號為「CVE-2023-20593」,並在2023年5月15日向AMD報告了這個問題。該安全漏洞能以每個核心30KB/s的速度竊取機密數據,影響處理器上執行的所有軟體,包括虛擬機器、沙箱、容器和行程等。
「Zenbleed」之所以受到重點關註,很主要的一個原因是其不需要潛在的攻擊者對有問題的電腦或伺服器進行物理存取,據說可以透過在網頁上執行javascript來觸發漏洞,然後竊取加密金鑰和使用者登入憑證等受到保護的資訊,這種攻擊向量是巨大的。
由於影響所有基於Zen 2架構的處理器,那麽涉及的範圍就非常廣了,其中的產品包括:
AMD很快就為EPYC伺服器處理器釋出了針對性的修補程式,因為這是最容易受到攻擊的系統,然後再逐步為剩余的Zen 2架構產品推出修補程式。AMD原計劃在2023年年底之前解決該問題,不過最終延後了。