本月早些时候,AMD悄悄披露了影响其Ryzen桌面芯片和EPYC数据中心处理器的31个新CPU漏洞。AMD与一些研究人员协调披露了这些漏洞,包括来自谷歌、苹果和甲骨文的团队。
AMD通常每年在5月和11月发布两次漏洞发现,但由于新漏洞的数量相对较多,而且缓解的时间也较早,因此决定提前发布修复措施。
尽管缺陷的严重性和数量,AMD还是将清单发布到其安全页面。这些缺陷包括AMD分发给其OEM的BIOS/UEFI修订版。由于每个OEM都有不同的BIOS/UEFI,最好与你的主板制造商或系统供应商联系,看看你是否需要更新。
服务器问题清单包括4个被评为高等级的漏洞,15个被评为中等级,9个被评为低等级。其中三个高危变种允许通过各种攻击载体执行任意代码,而另一个允许将数据写入特定区域,这可能导致数据完整性和可用性的损失。
一个特别普遍的漏洞是CVE-2021-26316,它同时影响到桌面和服务器处理器。它是一个 "BIOS中通信缓冲区和通信服务的验证失败,可能允许攻击者篡改缓冲区,导致潜在的系统管理模式任意代码执行"。
这些漏洞影响所有三代Epyc处理器,但只有四个漏洞影响第一代 "Naples "产品。其余的影响第二/三代 "罗马 "和 "那不勒斯 "产品。
