[情報] Zen架構存在高風險漏洞 用戶盡快更新韌體

中文來源：HKEPC https://www.hkepc.com/22146 原始來源：AMD官網 https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7009.html AMD官網來源短網址： https://bit.ly/42IalWv 中文內文： 【請注意 】AMD 13 日宣布由初代 Zen 1 至最新的 Zen 4 處理器中發現了 4 個嚴 重漏洞，這些漏洞均與 CPU 連到主機板上儲存系統韌體的晶片的 SPI 介面有關，透過這 些漏洞駭客執行 DDoS 攻擊、提升權限，甚至執行任意程式碼，AMD 已向主機板及系統廠 商提供 AGESA Firmware 更新，各位 AMD 用家記得盡快更新 BIOS。 據 AMD 通報，於 Zen 1 至 Zen 4 處理器發現 4 個與 SPI 介面相當的嚴重漏洞，涉及 的漏洞識別碼包括︰CVE2023-20576、CVE2023-20577、CVE2023-20579 及 CVE2023-20587 ，上述漏洞全部屬於高風險水平。 CVE-2023-20576：AGESA 中資料真實性驗證不充分可能會允許攻擊者更新 SPI ROM 數據 ，從而可能導致拒絕服務或權限升級。 CVE-2023-20577：SMM 模組中的堆溢位可能允許攻擊者利用第二個漏洞，從而能夠寫入 SPI 閃存，從而可能導致任意程式碼執行。 CVE-2023-20579：AMD SPI 保護功能中的存取控制不當可能會允許具有 Ring0（核心模式 ）特權存取的使用者繞過保護，從而可能導致完整性和可用性的損失。 CVE-2023-20587︰系統管理模式 (SMM) 中的不當存取控制可能允許攻擊者存取 SPI 閃存 ，從而可能導致任意程式碼執行。 這些漏洞均與 CPU 連到主機板上儲存系統韌體的晶片的 SPI 介面有關，透過這些漏洞駭 客執行 DDoS 攻擊、提升權限，甚至執行任意程式碼，其中 CVE-2023-20587 是最嚴重的 ，它可以讓黑客任意執行欺騙電腦運行的程式碼，而該程式碼實際上可以完全控制整個系 統。 AMD 已向主機板及系統廠商提供 AGESA Firmware 更新，各位 AMD 用家記得盡快更新 BIOS。 - 雖然每個中文字我都認得 但連在一起我就看不太懂了 總之AMD官方表明這些都是高風險的漏洞 AMD官網內有載明各平台解決漏洞的BIOS 建議用戶更新至該版或更新的版本 有EPYC,TR,(筆電掌機等)移動端,嵌入式等各種平台的說明 需要的人自己點進去看 我就貼個跟電蝦最相關的Ryzen桌面端： https://i.imgur.com/c9EuF5j.png 可以看到除了3000系尚待官方於3月進一步釋出新BIOS 其他都已經有修復後的版本了 5000G系列APU的BIOS是2/7一周前才釋出 滿新的 剛好前陣子5000GT開始販售 有入手的板友可以注意一下 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.68.119 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1708004838.A.6F4.html