快科技2月15日訊息,近日AMD釋出公告披露了4個高危漏洞,涉及到伺服器、桌上型電腦、工作站、HEDT、移動和嵌入式Zen1-4架構處理器,建議使用者儘快安裝安全補丁。
AMD表示,這4個高危漏洞均存在於雙序列外設介面(SPI)中,駭客可利用該漏洞發起,或者遠端執行任意程式碼。
此次披露的4個漏洞如下:
CVE-2023-20576:AGESA中資料真實性驗證不足,可能允許攻擊者更新SPI ROM資料,從而導致拒絕服務或許可權提升。
CVE-2023-20577:SMM模組中的堆溢位可能允許攻擊者訪問第二個漏洞,從而允許寫入SPI快閃記憶體,從而可能導致任意程式碼執行。
CVE-2023-20579:AMD SPI保護功能中的不當訪問控制,可能允許具有Ring0(核心模式)特權訪問的使用者繞過保護,這可能會導致完整性和可用性丟失。
CVE-2023-20587:系統管理模式(SMM)中的不當訪問控制,可能允許攻擊者訪問SPI快閃記憶體,從而可能導致任意程式碼執行。
目前AMD暫未完成對所有受影響產品的安全修復,因此Ryzen 3000系列桌上型電腦CPU,4000系列移動APU的使用者在接下來應需要注意,並在有更新時及時進行安裝。
