近日,微星为旗下的AM4主板推出了基于AGESA 1.2.0.Ca的新版BIOS,以解决Zen 2架构处理器里的「Zenbleed」远程执行漏洞。
去年谷歌信息安全研究员Tavis Ormandy发现了这个安全漏洞,对应的追踪编号为「CVE-2023-20593」,并在2023年5月15日向AMD报告了这个问题。该安全漏洞能以每个核心30KB/s的速度窃取机密数据,影响处理器上运行的所有软件,包括虚拟机、沙箱、容器和进程等。
「Zenbleed」之所以受到重点关注,很主要的一个原因是其不需要潜在的攻击者对有问题的计算机或服务器进行物理访问,据说可以通过在网页上执行javascript来触发漏洞,然后窃取加密密钥和用户登录凭证等受到保护的信息,这种攻击向量是巨大的。
由于影响所有基于Zen 2架构的处理器,那么涉及的范围就非常广了,其中的产品包括:
AMD很快就为EPYC服务器处理器发布了针对性的补丁,因为这是最容易受到攻击的系统,然后再逐步为剩余的Zen 2架构产品推出补丁。AMD原计划在2023年年底之前解决该问题,不过最终延后了。
