【請注意 ⚠️】AMD 13 日宣布由初代 Zen 1 至最新的 Zen 4 處理器中發現了 4 個嚴重漏洞，這些漏洞均與 CPU 連到主機板上儲存系統韌體的晶片的 SPI 介面有關，透過這些漏洞駭客執行 DDoS 攻擊、提升權限，甚至執行任意程式碼，AMD 已向主機板及系統廠商提供 AGESA Firmware 更新，各位 AMD 用家記得盡快更新 BIOS。

 

據 AMD 通報，於 Zen 1 至 Zen 4 處理器發現 4 個與 SPI 介面相當的嚴重漏洞，涉及的漏洞識別碼包括︰CVE2023-20576、CVE2023-20577、CVE2023-20579 及 CVE2023-20587，上述漏洞全部屬於高風險水平。

 

CVE-2023-20576：AGESA 中資料真實性驗證不充分可能會允許攻擊者更新 SPI ROM 數據，從而可能導致拒絕服務或權限升級。

 

CVE-2023-20577：SMM 模組中的堆溢位可能允許攻擊者利用第二個漏洞，從而能夠寫入 SPI 閃存，從而可能導致任意程式碼執行。

 

CVE-2023-20579：AMD SPI 保護功能中的存取控制不當可能會允許具有 Ring0（核心模式）特權存取的使用者繞過保護，從而可能導致完整性和可用性的損失。

 

CVE-2023-20587︰系統管理模式 (SMM) 中的不當存取控制可能允許攻擊者存取 SPI 閃存，從而可能導致任意程式碼執行。

 

這些漏洞均與 CPU 連到主機板上儲存系統韌體的晶片的 SPI 介面有關，透過這些漏洞駭客執行 DDoS 攻擊、提升權限，甚至執行任意程式碼，其中 CVE-2023-20587 是最嚴重的，它可以讓黑客任意執行欺騙電腦運行的程式碼，而該程式碼實際上可以完全控制整個系統。

 

AMD 已向主機板及系統廠商提供 AGESA Firmware 更新，各位 AMD 用家記得盡快更新 BIOS。

 

 

 

資料來源:

 

• AMD Processor Vulnerabilities - AMD