近日,微星為旗下的AM4主板推出了基於AGESA 1.2.0.Ca的新版BIOS,以解決Zen 2架構處理器里的「Zenbleed」遠程執行漏洞。
去年穀歌信息安全研究員Tavis Ormandy發現了這個安全漏洞,對應的追蹤編號為「CVE-2023-20593」,並在2023年5月15日向AMD報告了這個問題。該安全漏洞能以每個核心30KB/s的速度竊取機密數據,影響處理器上運行的所有軟體,包括虛擬機、沙箱、容器和進程等。
「Zenbleed」之所以受到重點關注,很主要的一個原因是其不需要潛在的攻擊者對有問題的計算機或伺服器進行物理訪問,據說可以通過在網頁上執行javascript來觸發漏洞,然後竊取加密密鑰和用戶登錄憑證等受到保護的信息,這種攻擊向量是巨大的。
由於影響所有基於Zen 2架構的處理器,那麼涉及的范圍就非常廣了,其中的產品包括:
Ryzen 3000系列
Ryzen PRO 3000系列
Ryzen Threadripper 3000系列
帶有核顯的Ryzen 4000系列
Ryzen PRO 4000系列
帶有核顯的Ryzen 5000系列
帶有核顯的Ryzen 7020系列
代號「Rome」的EPYC系列
AMD很快就為EPYC伺服器處理器發布了針對性的補丁,因為這是最容易受到攻擊的系統,然後再逐步為剩餘的Zen 2架構產品推出補丁。AMD原計劃在2023年年底之前解決該問題,不過最終延後了。
來源:超能網
