本月早些时候,AMD悄悄披露了31个新的CPU漏洞,影响了其Ryzen台式机芯片和EPYC(霄龙)数据中心处理器。AMD与几位研究人员协调披露了这些漏洞,包括来自谷歌,苹果和甲骨文的团队。
AMD 通常每年发布两次漏洞发现,分别在 5 月和 11 月,但由于新漏洞数量相对较多且缓解时间较长,因此决定提前发布修复程序。
尽管存在严重性和数量缺陷,但AMD还是将列表发布在其安全页面上。这些漏洞包括AMD已分发给其OEM的BIOS / UEFI修订版。由于每个 OEM 都有不同的 BIOS/UEFI,因此最好咨询您的主板制造商或系统供应商,了解您是否需要更新。边缘计算网关
服务器问题列表包括 15 个评级为“高”的漏洞、<> 个评级为“中”和 <> 个评级为“低优先级”的漏洞。其中三种高严重性变体允许通过各种攻击媒介执行任意代码,而另一种允许将数据写入特定区域,这可能导致数据完整性和可用性损失。
一个特别普遍的漏洞是 CVE-2021-26316,它同时影响台式机和服务器处理器。这是“BIOS 中的通信缓冲区和通信服务中的验证失败,可能允许攻击者篡改缓冲区,从而导致潜在的系统管理模式任意代码执行。
这些漏洞影响所有三代Epyc处理器,但只有四个漏洞影响第一代“那不勒斯”产品。其余的影响到第二代/第三代“罗马”和“那不勒斯”产品。