IT之家 2 月 15 日訊息,AMD 近日釋出編號為 AMD-SB-7009 的安全公告,披露 4 個等級為「高危」(High)的漏洞,影響伺服器、桌上型電腦、工作站、HEDT、移動和嵌入式 Zen 1-4 處理器,並推薦使用者盡快安裝修補程式。
根據 AMD 公告資訊,本次披露的 4 個「高危」漏洞均存在於雙序列外設介面(SPI)中,黑客利用該漏洞可發起拒絕服務攻擊,或者遠端執行任意程式碼。
這 4 個漏洞簡要介紹如下:
CVE-2023-20576:AGESA 驗證資料真實性不充分,可能會允許攻擊者更新 SPI ROM 數據,從而可能導致拒絕服務或許可權升級。
CVE-2023-20577:SMM 模組中的堆溢位可能允許攻擊者利用第二個漏洞,從而能夠寫入 SPI 快閃記憶體,從而導致執行任意程式碼。
CVE-2023-20579:AMD SPI 保護功能中的存取控制不當,黑客利用具有 Ring0(核心模式)特權存取的使用者繞過保護,從而可能導致完整性和可用性的損失。
CVE-2023-20587︰系統管理模式(SMM) 中的不當存取控制,攻擊者存取 SPI 快閃記憶體,導致執行任意程式碼。
使用 Ryzen 3000 系列桌上型電腦 CPU、4000 系列移動 APU、嵌入式 V2000 芯片或 V3000 系統的使用者在接下來的幾個月中應格外警惕,因為影響這幾代產品的問題尚未全部得到修補。
AMD 計劃於本月晚些時候進行的更新將解決 4000 系列 APU 的漏洞;而 2024 年 3 月的 BIOS 更新將修復 3000 系列 CPU 的漏洞;4 月修復嵌入式產品。
| CPU 代 | 已修復的最低版本 | 上線日期 |
|---|---|---|
| 1st Gen AMD EPYC | NaplesPI 1.0.0.K | 2023-Apr-27 |
| 2nd Gen AMD EPYC | RomePI 1.0.0.H | 2023-Nov-07 |
| 3rd Gen AMD EPYC | MilanPI 1.0.0.C | 2023-Dec-18 |
| 4th Gen AMD EPYC | GenoaPI 1.0.0.8 | 2023-Jun-09 |
| Ryzen 3000 Desktop | ComboAM4 1.0.0.B | 2024-Mar |
| Ryzen 5000 Desktop | ComboAM4v2 1.2.0.B | 2023-Aug-25 |
| Ryzen 5000 Desktop w/ Radeon | ComboAM4v2PI 1.2.0.C | 2024-Feb-07 |
| Ryzen 7000 Desktop | ComboAM5 1.0.8.0 | 2023-Aug-29 |
| Ryzen 3000 Desktop w/ Radeon | ComboAM4 1.0.0.B | 2024-Mar |
| Ryzen 4000 Desktop w/ Radeon | ComboAM4v2PI 1.2.0.C | 2024-Feb-07 |
| Ryzen Threadripper 3000 | CastlePeakPI-SP3r3 1.0.0.A | 2023-Nov-21 |
| Ryzen Threadripper Pro 3000WX | ChagallWSPI-sWRX8 1.0.0.7 | 2024-Jan-11 |
| Ryzen Threadripper Pro 5000WX | ChagallWSPI-sWRX8 1.0.0.7 | 2024-Jan-11 |
| Athlon 3000 Mobile w/ Radeon | PollockPI-FT5 1.0.0.6 | 2023-Oct-26 |
| Ryzen 3000 Mobile w/ Radeon | PicassoPI-FP5 1.0.1.0 | 2023-May-31 |
| Ryzen 4000 Mobile w/ Radeon | RenoirPI-FP6 1.0.0.D | 2024-Feb |
| Ryzen 5000 Mobile w/ Radeon | CezannePI-FP6 1.0.1.0 | 2024-Jan-25 |
| Ryzen 7020 w/ Radeon | MendocinoPI-FT6 1.0.0.6 | 2024-Jan-03 |
| Ryzen 6000 w/ Radeon | RembrandtPI-FP7 1.0.0.A | 2023-Dec-28 |
| Ryzen 7035 w/ Radeon | RembrandtPI-FP7 1.0.0.A | 2023-Dec-28 |
| Ryzen 5000 w/ Radeon | CezannePI-FP6 1.0.1.0 | 2024-Jan-25 |
| Ryzen 3000 w/ Radeon | CezannePI-FP6 1.0.1.0 | 2024-Jan-25 |
| Ryzen 7040 w/ Radeon | PhoenixPI-FP8-FP7 1.1.0.0 | 2023-Oct-06 |
| Ryzen 7045 Mobile | DragonRangeFL1PI 1.0.0.3b | 2023-Aug-30 |
| Eypc Embedded 3000 | Snowyowl PI 1.1.0.B | 2023-Dec-15 |
| Epyc Embedded 7002 | EmbRomePI-SP3 1.0.0.B | 2023-Dec-15 |
| Epyc Embedded 7003 | EmbMilanPI-SP3 1.0.0.8 | 2024-Jan-15 |
| Epyc Embedded 9003 | EmbGenoaPI-SP5 1.0.0.3 | 2023-Sep-15 |
| Ryzen Embedded R1000 | EmbeddedPI-FP5 1.2.0.A | 2023-Jul-31 |
| Ryzen Embedded R2000 | EmbeddedPI-FP5 1.0.0.2 | 2023-Jul-31 |
| Ryzen Embedded 5000 | EmbAM4PI 1.0.0.4 | 2023-Sep-22 |
| Ryzen Embedded V1000 | EmbeddedPI-FP5 1.2.0.A | 2023-Jul-31 |
| Ryzen Embedded V2000 | EmbeddedPI-FP6 1.0.0.9 | 2024-Apr |
| Ryzen Embedded V3000 | EmbeddedPI-FP7r2 1.0.0.9 | 2024-Apr |
IT之家附上 AMD 官方公告連結地址,感興趣的使用者可以深入閱讀。
