楼主:
E7lijah (Insfire)
2024-02-15 21:47:15中文来源:HKEPC
https://www.hkepc.com/22146
原始来源:AMD官网
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7009.html
AMD官网来源短网址:
https://bit.ly/42IalWv
中文内文:
【请注意 】AMD 13 日宣布由初代 Zen 1 至最新的 Zen 4 处理器中发现了 4 个严
重漏洞,这些漏洞均与 CPU 连到主机板上储存系统韧体的芯片的 SPI 接口有关,透过这
些漏洞骇客执行 DDoS 攻击、提升权限,甚至执行任意程式码,AMD 已向主机板及系统厂
商提供 AGESA Firmware 更新,各位 AMD 用家记得尽快更新 BIOS。
据 AMD 通报,于 Zen 1 至 Zen 4 处理器发现 4 个与 SPI 接口相当的严重漏洞,涉及
的漏洞识别码包括︰CVE2023-20576、CVE2023-20577、CVE2023-20579 及 CVE2023-20587
,上述漏洞全部属于高风险水平。
CVE-2023-20576:AGESA 中资料真实性验证不充分可能会允许攻击者更新 SPI ROM 数据
,从而可能导致拒绝服务或权限升级。
CVE-2023-20577:SMM 模组中的堆溢位可能允许攻击者利用第二个漏洞,从而能够写入
SPI 闪存,从而可能导致任意程式码执行。
CVE-2023-20579:AMD SPI 保护功能中的存取控制不当可能会允许具有 Ring0(核心模式
)特权存取的使用者绕过保护,从而可能导致完整性和可用性的损失。
CVE-2023-20587︰系统管理模式 (SMM) 中的不当存取控制可能允许攻击者存取 SPI 闪存
,从而可能导致任意程式码执行。
这些漏洞均与 CPU 连到主机板上储存系统韧体的芯片的 SPI 接口有关,透过这些漏洞骇
客执行 DDoS 攻击、提升权限,甚至执行任意程式码,其中 CVE-2023-20587 是最严重的
,它可以让黑客任意执行欺骗电脑运行的程式码,而该程式码实际上可以完全控制整个系
统。
AMD 已向主机板及系统厂商提供 AGESA Firmware 更新,各位 AMD 用家记得尽快更新
BIOS。
-
虽然每个中文字我都认得 但连在一起我就看不太懂了
总之AMD官方表明这些都是高风险的漏洞
AMD官网内有载明各平台解决漏洞的BIOS
建议用户更新至该版或更新的版本
有EPYC,TR,(笔电掌机等)移动端,嵌入式等各种平台的说明
需要的人自己点进去看
我就贴个跟电虾最相关的Ryzen桌面端:
https://i.imgur.com/c9EuF5j.png
可以看到除了3000系尚待官方于3月进一步释出新BIOS
其他都已经有修复后的版本了
5000G系列APU的BIOS是2/7一周前才释出 满新的
刚好前阵子5000GT开始贩售 有入手的板友可以注意一下