聲明：該文章來(lái)自（藍(lán)點(diǎn)網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

華碩日前向部分產(chǎn)品推出的 BIOS 測(cè)試版固件無(wú)疑中爆出 AMD 處理器的安全漏洞，當(dāng)然這也不能算是意外，畢竟固件來(lái)自作為上游的 AMD，既然華碩已經(jīng)都發(fā)布測(cè)試版說(shuō)明 AMD 已經(jīng)將固件分發(fā)給主板制造商進(jìn)行適配。

發(fā)現(xiàn)漏洞的是谷歌安全團(tuán)隊(duì)的研究人員，該漏洞似乎和微代碼有關(guān)，借助漏洞攻擊者可以繞過(guò) AMD 簽名微代碼并將惡意代碼加載到處理器中。

目前 AMD 已經(jīng)確認(rèn)該漏洞確實(shí)是真實(shí)有效的，AMD 強(qiáng)調(diào)利用該漏洞需要本地管理員權(quán)限并開(kāi)發(fā)和執(zhí)行惡意微代碼，因此利用難度相對(duì)來(lái)說(shuō)是比較高的。

但即便如此對(duì)于某些高安全企業(yè)來(lái)說(shuō)這依然存在安全風(fēng)險(xiǎn)，AMD 已經(jīng)在開(kāi)發(fā)和部署緩解措施，用來(lái)規(guī)避具有本地管理員權(quán)限的攻擊者借助漏洞發(fā)起攻擊。

安全專家推測(cè)這個(gè)漏洞的危害程度應(yīng)該是挺高的，如果攻擊者能夠加載任意微代碼，那就有可能破壞處理器的核心安全功能，例如系統(tǒng)管理模式 SMM、安全加密虛擬化 – 安全嵌套分頁(yè) SEV-SNP 以及動(dòng)態(tài)可信測(cè)量根 DRTM 等。

具體漏洞細(xì)節(jié)暫時(shí)是不會(huì)披露的，好在目前 OEM 只是在適配和測(cè)試階段并未廣泛發(fā)布固件更新，因此現(xiàn)在撤回還來(lái)得及，等 AMD 修復(fù)漏洞后再更新固件。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/