AMD 与谷歌披露 Zen 1 至 Zen 4 EPYC CPU 关键微码漏洞，已修复

近日，AMD与谷歌合作揭露了一起涉及2024年9月的AMD Zen 1至Zen 4系列CPU的关键微码漏洞。这一漏洞主要对服务器/企业级平台的EPYC CPU产生影响。根据公开信息，漏洞编号为CVE-2024-56161。谷歌安全研究团队在GitHub上发布了有关此问题的帖子，而AMD也就此发布了安全公告。

据悉，谷歌的文档显示，漏洞最初于2024年9月25日报告，之后AMD在大约两个半月后的2024年12月17日进行了修复。漏洞的公开披露时间被延迟到了昨日，以确保AMD的客户有足够时间在问题广泛传播之前应用修复措施。

AMD官方表示：“谷歌的研究人员向AMD提供了关于潜在漏洞的信息，成功利用该漏洞可能会导致基于SEV的机密访客保护功能失效。”

SEV指的是安全加密虚拟化，是服务器级AMD CPU用于实现虚拟化的一项功能。通常情况下，远程或本地的“瘦客户端（AMD）”数据存储和管理在中央服务器上。用户访问数据的设备功能相对较低，甚至几乎没有处理能力。尽管具体设置可能有所不同，但虚拟化多个用户的目的通常是为了节约硬件成本或提供高级别的安全性。

微码攻击会导致SEV保护功能失效，这可能导致受攻击影响的虚拟化用户的保密数据遭到窃取。除了数据盗窃之外，恶意微码加载还可能引发其他更严重的攻击。

受影响的AMD EPYC CPU系列包括：AMD EPYC 7001（那不勒斯）、AMD Epyc 7002（罗马）、AMD Epyc 7003（米兰和米兰 - X）、以及AMD Epyc 9004（热那亚、热那亚 - X和贝加莫/锡耶纳）。幸运的是，AMD已经发布了针对受影响CPU的微码更新，用户应该采用适当的更新工具（如BIOS更新）来解决问题。不过AMD指出，某些平台可能需要进行SEV固件更新，以支持SEV-SNP认证以正确地实施此修复程序。

广告声明：本文包含外部链接，仅供参考，点击需谨慎。