Google 安全團隊的研究人員發現了處理器中的漏洞 AMD Zen 1-4,這允許具有本機管理員權限的攻擊者上傳惡意微程式碼。此漏洞與驗證微碼簽章時使用不安全的雜湊函數有關。
根據 Google 訊息此漏洞允許攻擊者破壞受 AMD 安全加密虛擬化 (SEV-SNP) 技術保護的敏感運算工作負載並破壞動態信任根測量。
AMD發布 微碼更新,從而消除了這個漏洞。更新需要安裝新版本的 BIOS 並重新啟動系統。使用者可以透過 SEV-SNP 證明報告檢查是否已修復。
該漏洞影響該系列的處理器 AMD EPYC 7001、7002、7003 和 9004。詳細的微碼版本和更新說明可以參見 AMD 安全公告.
此漏洞的 CVSS 評分為 7.2,屬於高危險等級。 CVE 漏洞標識符:CVE-2024-56161。
來源: linux.org.ru
