快科技2月5日訊息,AMD的Zen 1至Zen 4架構CPU被發現存在一個關鍵微碼漏洞,該漏洞編號為CVE-2024-56161,CVSS評分達7.2。
谷歌安全研究團隊在2024年9月25日發現並向AMD披露了這一漏洞,AMD已於2024年12月17日針對該漏洞釋出了修復措施,並於2025年2月3日公開披露,不過到3月5日才提供全面的技術細節。
該漏洞影響Zen1至Zen4系列伺服器/企業級處理器,攻擊者在獲得本地管理員許可權後,可藉助注入惡意微指令直接影響處理器的核心運作機制。
尤其是在使用 AMD SEV-SNP 技術保護機密工作負載的用例下,惡意微指令可能破壞工作負載的保密性與完整性,進而影響整個運算環境的安全基礎。
根據AMD釋出的資料,針對資料中心市場的AMD EPYC系列產品,Naples與Rome平臺分別於2024年12月13日釋出修復版本,Milan系列也在同日完成更新,而Genoa系列則於2024年12月16日推出修復措施。
更新後的平臺將禁止透過熱載入方式執行後續微指令更新,如在未更新平臺嘗試熱載入超出指定版本的微指令,可能引發系統#GP故障。
針對嵌入式產品市場,AMD也針對EPYC Embedded 7002、7003與9004系列推出相應的修補版本,並已於2024年12月底釋出完成。
此外,AMD還為使用AMD SEV技術的使用者推送了SEV韌體更新,使用者可以透過SEV-SNP驗證報告確認修復措施是否已成功啟用。
