IT之家 2 月 5 日消息，已修復(fù)昨日，谷歌披U關(guān)AMD 與谷歌公開披露了發(fā)現(xiàn)于 2024 年 9 月的鍵微 AMD Zen 1 至 Zen 4 系列 CPU 中的關(guān)鍵微碼漏洞，該漏洞主要影響服務(wù)器 / 企業(yè)級平臺的碼漏 EPYC CPU。這一漏洞編號為 CVE-2024-56161，已修復(fù)谷歌安全研究團隊在 GitHub 發(fā)布的谷歌披U關(guān)帖子以及 AMD 針對該漏洞發(fā)布的安全公告中對其進行了更為詳細的討論。

IT之家注意到，鍵微根據(jù)谷歌的碼漏文檔顯示，該問題最初于 2024 年 9 月 25 日被報告，已修復(fù)隨后 AMD 在約兩個半月后的谷歌披U關(guān) 2024 年 12 月 17 日對其進行了修復(fù)。而公開披露日期則推遲至昨日，鍵微以便 AMD 的碼漏客戶有時間在該問題廣泛傳播之前應(yīng)用修復(fù)程序。

AMD 官方表述稱：“谷歌的已修復(fù)研究人員向 AMD 提供了有關(guān)潛在漏洞的信息，若該漏洞被成功利用，谷歌披U關(guān)可能會導(dǎo)致基于 SEV 的鍵微機密訪客保護功能失效?！?/p>

SEV 指的是安全加密虛擬化，這是服務(wù)器級 AMD CPU 用于實現(xiàn)虛擬化的一項功能。通常，這意味著遠程或本地的“瘦客戶端（AMD）”，其數(shù)據(jù)存儲和管理在中央服務(wù)器上。用戶用于訪問數(shù)據(jù)的設(shè)備功能相對次要，有時甚至幾乎沒有處理能力。具體的設(shè)置可能有所不同，但對多個用戶進行虛擬化的目的通常是為了節(jié)省硬件成本或提供更高程度的安全性，有時兩者兼具。

通過微碼攻擊導(dǎo)致 SEV 保護功能失效，意味著受此攻擊影響的虛擬化用戶原本保密的數(shù)據(jù)可能會被盜取。此外，惡意的微碼加載可能引發(fā)的數(shù)據(jù)盜竊之外的更多攻擊。

受影響的 AMD EPYC CPU 具體系列包括：AMD EPYC 7001（那不勒斯）、AMD Epyc 7002（羅馬）、AMD Epyc 7003（米蘭和米蘭 - X）以及 AMD Epyc 9004（熱那亞、熱那亞 - X 以及貝加莫 / 錫耶納）。好在是，AMD 已經(jīng)為受影響的 CPU 發(fā)布了微碼更新，使用適當(dāng)?shù)母鹿ぞ撸ㄈ?BIOS 更新等）應(yīng)該可以解決問題。但 AMD 指出，對于某些平臺，可能需要進行 SEV 固件更新，以通過 SEV-SNP 認證來正確支持該修復(fù)程序。