John pan

  AMD近日公告由初代Zen1至最新Zen4處理器發現4個嚴重漏洞，這些漏洞與CPU連到主機板儲存系統韌體的晶片SPI介面有關，透過這些漏洞，駭客執行DDoS攻擊、提升權限、執行任意程式，AMD已向卡板廠及OEM系統商提供AGESA Firmware更新，AMD用戶盡快更新。

  據AMD公告，在Zen 1至Zen4處理器發現4個與SPI介面相當的嚴重漏洞，涉及的漏洞識別碼包括︰CVE2023-20576、CVE2023-20577、CVE2023-20579 及 CVE2023-20587，上述漏洞全屬於高風險水平。

CVE-2023-20576：AGESA中資料真實性驗證不充分，可能會允許攻擊者更新SPI ROM數據，可能導致拒絕服務或權限升級。

CVE-2023-20577：SMM模組的堆溢位可能允許攻擊者利用第二個漏洞寫入SPI閃存，可能導致任意程式碼執行。

CVE-2023-20579：AMD SPI保護功能的存取控制不當可能允許具有Ring0（核心模式）特權存取的使用者繞過保護，可能導致完整性和可用性的損失。

CVE-2023-20587︰系統管理模式 (SMM) 中的不當存取控制可能允許攻擊者存取SPI閃存，可能導致任意程式碼執行。

  這些漏洞與CPU連到主機板上儲存系統韌體的晶片SPI介面相關，透過這些漏洞，駭客能執行DDoS攻擊、提升權限，甚至執行任意程式碼，其中CVE-2023-20587最為嚴重，它可讓駭客任意執行騙過電腦運行的程式，而該程式實際上可完全控制整個系統。AMD已向卡板廠及OEM系統商提供AGESA Firmware更新，要盡快更新。

來源
謝謝收看