快科技2月15日消息,近日AMD發布公告披露了4個高危漏洞,涉及到伺服器、台式機、工作站、HEDT、移動和嵌入式Zen1-4架構處理器,建議用戶盡快安裝安全補丁。
AMD表示,這4個高危漏洞均存在於雙串行外設接口(SPI)中,黑客可利用該漏洞發起拒絕服務攻擊,或者遠程執行任意代碼。
此次披露的4個漏洞如下:
CVE-2023-20576:AGESA中數據真實性驗證不足,可能允許攻擊者更新SPI ROM數據,從而導致拒絕服務或權限提升。
CVE-2023-20577:SMM模塊中的堆溢出可能允許攻擊者訪問第二個漏洞,從而允許寫入SPI快閃記憶體,從而可能導致任意代碼執行。
CVE-2023-20579:AMD SPI保護功能中的不當訪問控制,可能允許具有Ring0(內核模式)特權訪問的用戶繞過保護,這可能會導致完整性和可用性丟失。
CVE-2023-20587:系統管理模式(SMM)中的不當訪問控制,可能允許攻擊者訪問SPI快閃記憶體,從而可能導致任意代碼執行。
目前AMD暫未完成對所有受影響產品的安全修復,因此Ryzen 3000系列台式機CPU,4000系列移動APU的用戶在接下來應需要注意,並在有更新時及時進行安裝。
來源:快科技
