華碩日前向部分產(chǎn)品推出的 BIOS 測試版固件無疑中爆出 AMD 處理器的安全漏洞，當然這也不能算是意外，畢竟固件來自作為上游的 AMD，既然華碩已經(jīng)都發(fā)布測試版說明 AMD 已經(jīng)將固件分發(fā)給主板制造商進行適配。

發(fā)現(xiàn)漏洞的是谷歌安全團隊的研究人員，該漏洞似乎和微代碼有關，借助漏洞攻擊者可以繞過 AMD 簽名微代碼并將惡意代碼加載到處理器中。

目前 AMD 已經(jīng)確認該漏洞確實是真實有效的，AMD 強調(diào)利用該漏洞需要本地管理員權限并開發(fā)和執(zhí)行惡意微代碼，因此利用難度相對來說是比較高的。

但即便如此對于某些高安全企業(yè)來說這依然存在安全風險，AMD 已經(jīng)在開發(fā)和部署緩解措施，用來規(guī)避具有本地管理員權限的攻擊者借助漏洞發(fā)起攻擊。

安全專家推測這個漏洞的危害程度應該是挺高的，如果攻擊者能夠加載任意微代碼，那就有可能破壞處理器的核心安全功能，例如系統(tǒng)管理模式 SMM、安全加密虛擬化 – 安全嵌套分頁 SEV-SNP 以及動態(tài)可信測量根 DRTM 等。

具體漏洞細節(jié)暫時是不會披露的，好在目前 OEM 只是在適配和測試階段并未廣泛發(fā)布固件更新，因此現(xiàn)在撤回還來得及，等 AMD 修復漏洞后再更新固件。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/