美国超微半导体公司(AMD)已发布安全更新,以修复其霄龙(EPYC)和锐龙(Ryzen)嵌入式处理器中的多个漏洞,其中一些漏洞可能导致任意代码执行、内存损坏或权限提升。最严重的漏洞的通用漏洞评分系统(CVSS)评分为 7.5 分(高危),并影响到各种系统管理模式(SMM)、安全加密虚拟化(SEV)以及固件组件。
安全公告列出了影响 AMD 嵌入式处理器系列的十个漏洞。其中,最严重的问题 ——CVE-2023-31342、CVE-2023-31343 和 CVE-2023-31345—— 每个漏洞的 CVSS 评分均为 7.5 分(高危),这些漏洞源于系统管理模式(SMM)处理程序中不当的输入验证。据 AMD 称,这些漏洞 “可能使具有特权的攻击者覆盖系统管理随机存取存储器(SMRAM),从而有可能导致任意代码执行”。
另一个高风险漏洞 CVE-2023-31352(CVSS 评分为 6.0 分,中危)影响到安全加密虚拟化(SEV)固件,AMD 警告称,“该漏洞可能使具有特权的攻击者读取未加密的内存,从而有可能导致虚拟机客户机私有数据丢失”。
其他值得注意的漏洞包括:
1.CVE-2023-20515(CVSS 评分为 5.7 分,中危):固件可信平台模块(fTPM)驱动程序中不当的访问控制可能会让具有特权的攻击者损坏系统内存,损害数据完整性。
2.CVE-2023-20582(CVSS 评分为 5.3 分,中危):输入输出内存管理单元(IOMMU)中的缺陷可能使攻击者绕过安全加密虚拟化 – 安全嵌套分页(SEV-SNP)中的受保护内存区域(RMP)检查,影响虚拟机客户机内存的安全性。
3.CVE-2023-31356(CVSS 评分为 4.4 分,中危):安全加密虚拟化(SEV)固件中不完整的系统内存清理可能会损坏虚拟机客户机的私有内存,影响数据完整性。
AMD 已确认这些漏洞会影响霄龙嵌入式 3000 系列、7002 系列、7003 系列、9004 系列,以及锐龙嵌入式 R1000 系列、R2000 系列、5000 系列、7000 系列、V1000 系列、V2000 系列和 V3000 系列。
为应对这些安全风险,AMD 建议更新平台初始化(PI)固件。一些关键的固件更新包括:
1.适用于霄龙嵌入式 7003 系列的 EmbMilanPI-SP3 1.0.0.8 版本(2024 年 1 月 15 日发布)
2.适用于霄龙嵌入式 9004 系列的 EmbGenoaPI-SP5 1.0.0.7 版本(2024 年 7 月 15 日发布)
3.适用于锐龙嵌入式 R1000 系列的 EmbeddedPI-FP5 1.2.0.C 版本(2024 年 6 月 14 日发布)
4.适用于锐龙嵌入式 7000 系列的 EmbeddedAM5PI 1.0.0.1 版本(2024 年 7 月 31 日发布)
AMD 建议所有使用受影响嵌入式处理器的客户和供应商:
1.尽快应用最新的固件更新,以降低潜在的被利用风险。
2.与原始设备制造商(OEM)供应商合作,确保基本输入输出系统(BIOS)和固件补丁得到妥善部署。
3.实施严格的访问控制策略,防止未经授权的固件修改。
发表评论
您还未登录,请先登录。
登录