AMD 與谷歌披露 Zen 1 至 Zen 4 EPYC CPU 關(guān)鍵微碼漏洞，已修復(fù)

IT之家 2 月 5 日消息，昨日，AMD 與谷歌公開披露了發(fā)現(xiàn)于 2024 年 9 月的 AMD Zen 1 至 Zen 4 系列 CPU 中的關(guān)鍵微碼漏洞，該漏洞主要影響服務(wù)器 / 企業(yè)級(jí)平臺(tái)的 EPYC CPU。這一漏洞編號(hào)為 CVE-2024-56161，谷歌安全研究團(tuán)隊(duì)在 GitHub 發(fā)布的帖子以及 AMD 針對(duì)該漏洞發(fā)布的安全公告中對(duì)其進(jìn)行了更為詳細(xì)的討論。

IT之家注意到，根據(jù)谷歌的文檔顯示，該問題最初于 2024 年 9 月 25 日被報(bào)告，隨后 AMD 在約兩個(gè)半月后的 2024 年 12 月 17 日對(duì)其進(jìn)行了修復(fù)。而公開披露日期則推遲至昨日，以便 AMD 的客戶有時(shí)間在該問題廣泛傳播之前應(yīng)用修復(fù)程序。

AMD 官方表述稱：“谷歌的研究人員向 AMD 提供了有關(guān)潛在漏洞的信息，若該漏洞被成功利用，可能會(huì)導(dǎo)致基于 SEV 的機(jī)密訪客保護(hù)功能失效?！?/p>

SEV 指的是安全加密虛擬化，這是服務(wù)器級(jí) AMD CPU 用于實(shí)現(xiàn)虛擬化的一項(xiàng)功能。通常，這意味著遠(yuǎn)程或本地的“瘦客戶端（AMD）”，其數(shù)據(jù)存儲(chǔ)和管理在中央服務(wù)器上。用戶用于訪問數(shù)據(jù)的設(shè)備功能相對(duì)次要，有時(shí)甚至幾乎沒有處理能力。具體的設(shè)置可能有所不同，但對(duì)多個(gè)用戶進(jìn)行虛擬化的目的通常是為了節(jié)省硬件成本或提供更高程度的安全性，有時(shí)兩者兼具。

通過微碼攻擊導(dǎo)致 SEV 保護(hù)功能失效，意味著受此攻擊影響的虛擬化用戶原本保密的數(shù)據(jù)可能會(huì)被盜取。此外，惡意的微碼加載可能引發(fā)的數(shù)據(jù)盜竊之外的更多攻擊。

受影響的 AMD EPYC CPU 具體系列包括：AMD EPYC 7001（那不勒斯）、AMD Epyc 7002（羅馬）、AMD Epyc 7003（米蘭和米蘭 - X）以及 AMD Epyc 9004（熱那亞、熱那亞 - X 以及貝加莫 / 錫耶納）。好在是，AMD 已經(jīng)為受影響的 CPU 發(fā)布了微碼更新，使用適當(dāng)?shù)母鹿ぞ撸ㄈ?BIOS 更新等）應(yīng)該可以解決問題。但 AMD 指出，對(duì)于某些平臺(tái)，可能需要進(jìn)行 SEV 固件更新，以通過 SEV-SNP 認(rèn)證來(lái)正確支持該修復(fù)程序。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。