ADVERTISEMENT
近日,Google 资安研究团队发现 AMD EPYC 及 RYZEN 处理器存在一个高危安全漏洞(CVE-2024-56161),该漏洞可能允许攻击者加载恶意 CPU 微码,对机密计算环境造成威胁。AMD 已紧急发布针对 EPYC 伺服器处理器的固件更新,并计划后续释出 RYZEN 处理器的修复方案。此漏洞影响 ZEN 1 至 ZEN 4 架构的所有 AMD 处理器,可能带来严重安全风险。
漏洞详情与影响
根据 Google 资安团队的报告,该漏洞源自 AMD 处理器在进行微码更新时,使用了不安全的哈希函数进行签名验证。这使得攻击者能够绕过验证机制,载入恶意的微码更新,进一步影响 CPU 的运作。
攻击者可利用该漏洞,破坏 AMD 安全加密虚拟化(SEV-SNP)技术所保护的机密计算环境,甚至影响动态信任根测量(Dynamic Root of Trust Measurement)。Google 研究人员透过概念验证(PoC)展示了该漏洞的危害,他们成功修改微码,使得 AMD ZEN 架构处理器上的 RDRAND 指令始终返回固定值「4」,并强制 CF 设定为 0,进而导致加密运算结果错误,使受保护的工作负载面临安全风险。
这项攻击不仅影响云端伺服器和资料中心,也可能对企业内部使用 AMD 处理器的关键运算环境带来风险。虽然该漏洞的利用条件较为严苛,需要攻击者拥有本地管理员权限,但对于高安全性需求的企业与资料中心来说,仍然需要高度关注并及时更新。
AMD 已发布 EPYC 修复方案,RYZEN 用户仍需等待
面对这一漏洞,AMD 已迅速行动,并率先为 EPYC 伺服器处理器发布 SEV 固件更新,以确保机密虚拟机(Confidential VM)的完整性和安全性。该修复方案能够防止攻击者利用该漏洞来绕过 SEV-SNP 技术的保护机制。
然而,截至目前,AMD 尚未公布针对 RYZEN 系列消费级处理器的修复时程。由于此漏洞需要具备本地管理员权限才能被利用,因此对于一般家庭用户来说,短期内影响较小,但仍建议保持系统更新,并关注 AMD 官方的后续公告。
如何保护自己?
儘管此漏洞的攻击门槛较高,但仍建议 AMD 处理器使用者採取以下措施来降低风险: