AMD和英特尔都发布了一系列补丁,修复了一些影响各自硬件产品的严重安全问题。
首先,AMD发现并修复了困扰其基于Zen的CPU不同版本的四个漏洞。
除其他外,这些漏洞允许威胁行为者在目标设备上运行恶意代码 - 但尽管该公司确实通过发布补丁解决了这些缺陷,但这些修复程序尚未覆盖所有用户。
修复 Zenbleed
AMD发现的缺陷会影响不同的CPU(它们并不总是重叠)。但是,它们都损害了 SPI 接口的安全性,该接口连接到存储 BIOS 的闪存芯片。这些漏洞被跟踪为 CVE-2023-20576、CVE-2023-20577、CVE-2023-20579 和 CVE-2023-20587,均被评为“高严重性”。
从理论上讲,威胁行为者将能够滥用这些缺陷来发起拒绝服务攻击、提升权限和执行任意代码,这可能导致端点完全接管。这里的一线希望是攻击者需要对易受攻击的系统进行本地访问。
这些缺陷影响了原始的 Zen 芯片和最新的 Zen 4 处理器,以及介于两者之间的许多变体。受影响芯片和补丁的完整列表可以在 AMD 本周早些时候发布的公告中找到。AMD 通过发布新版本的 AGESA(主板 BIOS 的基本代码)来修补这些漏洞。基于 Zen 2 的芯片的新版本也修补了 Zenbleed。
要获得新的 AGESA 版本,需要将新的 BIOS 部署到用户,因此即使新的 AGESA 在技术上可用,也不意味着所有主板都可以立即更新。
AMD 将这些问题的发现和报告归功于 IOActive 的 Enrique Nissim、Krzysztof Okupski 和 Joseph Tartaro,尽管它补充说“一些发现是在运行过时固件或软件的 PC 上发现的”。它敦促所有客户尽快应用补丁,并建议他们遵循安全最佳实践以保持安全。
英特尔修补了三十多个漏洞
与此同时,英特尔修补了近三十个不同的漏洞,影响了各种软件和固件。
总共有 32 个错误是针对软件的,影响了不同的芯片组驱动程序、Wi-Fi 和其他组件。剩下的两个错误是影响 Thunderbolt 的软件和固件缺陷。
影响 Thunderbolt 驱动程序的软件问题尤其令人担忧,因为它包含 20 种不同的漏洞,这些漏洞可能允许威胁行为者提升权限、执行拒绝服务攻击和窃取数据。在这 20 个中,有三个是“高度严重”。
好消息是,20 个 Thunderbolt 驱动程序中的大多数都需要本地访问该设备。坏消息是,为了解决所有缺陷,用户需要单独更新英特尔列出的每个软件和固件。
