曝光!AMD 与谷歌披露 Zen 1 至 Zen 4 EPYC CPU 关键微码漏洞,已成功修复
AMD 与谷歌合作揭秘:Zen 1 至 Zen 4 EPYC CPU 微码漏洞修复全过程
2月5日消息,昨日,AMD与谷歌联合公布了在2024年9月发现的AMD Zen1至Zen4系列CPU中的重要微码漏洞。该漏洞主要影响服务器和企业级平台上的EPYC CPU。这一漏洞被编号为CVE-2024-56161,在谷歌安全研究团队在GitHub上发布的帖子以及AMD针对该漏洞发布的技术公告中进行了详细说明。
注意到,根据谷歌的文档显示,该问题最初于2024年9月25日被报告,随后AMD在约两个半月后的2024年12月17日对其进行了修复。而公开披露日期则推迟到昨日,以便AMD的客户有时间在该问题广泛传播之前安装更新。
AMD官方表示:“谷歌的专家向AMD分享了关于可能存在的漏洞详情,若该漏洞被恶意利用,可能会削弱基于SEV的客户机保密功能。”
SEV 指的是安全加密虚拟化,这是服务器级 AMD CPU 用于实现虚拟化的一项功能。通常,这意味着远程或本地的“瘦客户端(AMD)”,其数据存储和管理在中央服务器上。用户用于访问数据的设备功能相对次要,有时甚至几乎没有处理能力。具体的设置可能有所不同,但对多个用户进行虚拟化的目的通常是为了节省硬件成本或提供更高程度的安全性,有时两者兼具。
通过微码攻击致使SEV安全加密虚拟化功能失效,意味着受影响的虚拟化用户原先加密保护的数据存在被窃取的风险。此外,恶意的微码加载不仅可能导致数据被盗,还可能引发更多其他类型的攻击。
受到影响的AMD EPYC CPU系列包括:AMD EPYC 7001(那不勒斯)、AMD EPYC 7002(罗马)、AMD EPYC 7003(米兰和米兰-X)以及AMD EPYC 9004(热那亚、热那亚-X以及贝加莫/锡耶纳)。幸运的是,AMD 已经为这些受影响的 CPU 提供了微代码更新。通过适当的更新工具(例如 BIOS 更新等)应该能够解决这个问题。不过,AMD 指出,对于某些平台,可能还需要进行 SEV 固件更新,以便通过 SEV-SNP 认证来正确实施此修复措施。