外媒報導,處理器大廠 AMD 1 月資料更新,悄悄揭露 31 個處理器安全漏洞,涵蓋範圍包括消費級 Ryzen 處理器和 EPYC 資料中心伺服器處理器。
科技媒體 Tomshardware 報導指出,這些漏洞在 AMD、Google、蘋果和甲骨文團隊研究人員協調後揭露,讓 AMD 有時間公開前推送修補程式,但 AMD 這次不同過往,以新聞稿或其他活動宣布漏洞,只公布漏洞清單,許多廠商和媒體努力整理細節,希望提供更多資訊並即時更新。
從 AMD 針對 OEM 廠商各種 AGESA 修正版看來,BIOS 修正程式可用性因供應商而異,使用者必須詢問主機板或系統供應商,是否更新到 AGESA 修正版。
AMD 通常每年兩次發布漏洞,分別在 5 月和 11 月,但這次新漏洞數量較多,需要時間開發修補程式,所以才 1 月另行發布。有漏洞的 AMD 處理器,消費性市場影響桌上型、HEDT、Pro 和行動 CPU 系列的 Ryzen 型號,一個漏洞標記為高嚴重性,兩個漏洞不那麼嚴重,但仍需修補。駭客可經漏洞攻擊 BIOS 或 AMD 安全處理器 (ASP) 引導加載程序。
漏洞影響含 Ryzen 2000 系列 Pinnacle Ridge 桌上型處理器,以及有整合顯示卡的 2000 和 5000 系列 APU 產品線。Threadripper 2000 和 3000 系列 HEDT 和 Pro 處理器,以及眾多 Ryzen 2000、3000、5000、6000 和 Athlon 3000 系列行動處理器也受影響。EPYC 伺服器處理器也有 28 個漏洞,4 個屬高危險度、3 個高嚴重性變體漏洞。還有 15 個中等嚴重程度、9 個低嚴重程度。
AMD 處理器已知漏洞雖少於競爭對手英特爾,但很難確定是因與英特爾設計不同所以有先天優勢,或英特爾處理器市占較高所以漏洞率也較高。近年 AMD 從英特爾手中奪下不少市占,尤其以安全為重點的資料中心伺服器市場,將來研究人員應會更注意 AMD 處理器,是否有 AMD 處理器更多安全漏洞揭露,還有待觀察。
(首圖來源:AMD)
科技新報粉絲團
加入好友
訂閱免費電子報
