欢迎参与评论,每一条合规评论都是对我们的褒奖。
请 登录 或 快速注册 后发表评论
AMD近日发布两份公告透露了31个处理器漏洞,其中3个漏洞涉及锐龙、速龙、线程撕裂者、线程撕裂者Pro处理器,28个漏洞涉及霄龙处理器。
涉及消费级处理器的三个漏洞分为CVE-2021-26316、CVE-2021-26346及CVE-2021-46795。
CVE-2021-26316风险等级为高,指未能验证BIOS中的通信缓冲区和通信服务可能允许攻击者篡改缓冲区,可能导致任意代码在SMM(系统管理模式)中执行。
CVE-2021-26346风险等级为中,指未经验证的 ASP(AMD 安全处理器)引导加载程序中的整数操作可能允许攻击者在 SPI 闪存的L2目录表中造成整数溢出,从而导致潜在的拒绝服务。
CVE-2021-46795风险等级为低,存在 TOCTOU(Time-of-check Time-of-use)漏洞,攻击者可能使用被破坏的BIOS导致TEE OS越界读取内存,可能会导致拒绝服务。
受到此次漏洞影响的消费级处理器包括:
锐龙2000系列处理器
锐龙2000G系列处理器
锐龙5000G系列处理器
线程撕裂者2000系列HEDT平台处理器
线程撕裂者2000 Pro系列处理器
线程撕裂者3000系列HEDT平台处理器
线程撕裂者3000 Pro系列处理器
锐龙2000系列移动版处理器
锐龙3000系列移动版处理器
锐龙5000系列移动版处理器
锐龙6000系列移动版处理器
速龙3000系列移动处理器
AMD还透露了影响霄龙处理器的28个漏洞,其中四个为高风险,十五个为中风险,九个为低风险。
AMD已将AGESA微码交付OEM厂商,用户可访问产品官网查询是否有新版BIOS下载,在包括谷歌、苹果、甲骨文的研究人员也参与了漏洞的发现及调查。