AMD近日公告了31個處理器漏洞,其中3個漏洞涉及Ryzen 、Athlon 、Threadripper、 Threadripper Pro處理器,28個漏洞波及EPYC處理器。涉及消費級處理器三個漏洞分別為CVE-2021-26316、CVE-2021-26346 及 CVE-2021-46795,詳情如下:
CVE-2021-26316 風險等級為高,指未能驗證 BIOS 中的通信緩衝區和通信服務可能允許攻擊者篡改緩衝區,可能導致任意代碼在 SMM(系統管理模式)中執行。
CVE-2021-26346 風險等級為中,指未經驗證的 ASP(AMD 安全處理器)引導加載程式中的整數操作可能允許攻擊者在 SPI 快閃記憶體的 L2 目錄表中造成整數溢出,從而導致潛在的拒絕服務。
CVE-2021-46795 風險等級為低,存在 TOCTOU(Time-of-check Time-of-use)漏洞,攻擊者可能使用被破壞的 BIOS 導致 TEE OS 越界讀取記憶體,可能會導致拒絕服務。
受漏洞影響的消費處理器包括:
Ryzen 2000 系列處理器
Ryzen 2000G 系列處理器
Ryzen 5000G 系列處理器
Threadripper 2000 系列 HEDT 平台處理器
Threadripper 2000 Pro 系列處理器
Threadripper 3000 系列 HEDT 平台處理器
Threadripper 3000 Pro 系列處理器
Ryzen 2000 系列移動版處理器
Ryzen 3000 系列移動版處理器
Ryzen 5000 系列移動版處理器
Ryzen 6000 系列移動版處理器
Athlon 3000 系列移動處理器
AMD透露影響EPYC處理器的28個漏洞,其中4個為高風險,15個為中風險,9個為低風險。AMD 已將 AGESA 微碼交付 OEM 廠商,可訪問產品官網查詢是否有新版 BIOS 下載,包括 Google、APPLE、Oracle 研究人員也參與了漏洞的發現及調查。
來源
謝謝收看
留言列表
