AMD 多款嵌入式处理器现安全隐患，官方建议升级固件防范

美国超微半导体公司（AMD）已发布安全更新，以修复其霄龙（EPYC）和锐龙（Ryzen）嵌入式处理器中的多个漏洞，其中一些漏洞可能导致任意代码执行、内存损坏或权限提升。最严重的漏洞的通用漏洞评分系统（CVSS）评分为 7.5 分（高危），并影响到各种系统管理模式（SMM）、安全加密虚拟化（SEV）以及固件组件。

安全公告列出了影响 AMD 嵌入式处理器系列的十个漏洞。其中，最严重的问题 ——CVE-2023-31342、CVE-2023-31343 和 CVE-2023-31345—— 每个漏洞的 CVSS 评分均为 7.5 分（高危），这些漏洞源于系统管理模式（SMM）处理程序中不当的输入验证。据 AMD 称，这些漏洞 “可能使具有特权的攻击者覆盖系统管理随机存取存储器（SMRAM），从而有可能导致任意代码执行”。

另一个高风险漏洞 CVE-2023-31352（CVSS 评分为 6.0 分，中危）影响到安全加密虚拟化（SEV）固件，AMD 警告称，“该漏洞可能使具有特权的攻击者读取未加密的内存，从而有可能导致虚拟机客户机私有数据丢失”。

其他值得注意的漏洞包括：

1.CVE-2023-20515（CVSS 评分为 5.7 分，中危）：固件可信平台模块（fTPM）驱动程序中不当的访问控制可能会让具有特权的攻击者损坏系统内存，损害数据完整性。

2.CVE-2023-20582（CVSS 评分为 5.3 分，中危）：输入输出内存管理单元（IOMMU）中的缺陷可能使攻击者绕过安全加密虚拟化 – 安全嵌套分页（SEV-SNP）中的受保护内存区域（RMP）检查，影响虚拟机客户机内存的安全性。

3.CVE-2023-31356（CVSS 评分为 4.4 分，中危）：安全加密虚拟化（SEV）固件中不完整的系统内存清理可能会损坏虚拟机客户机的私有内存，影响数据完整性。

AMD 已确认这些漏洞会影响霄龙嵌入式 3000 系列、7002 系列、7003 系列、9004 系列，以及锐龙嵌入式 R1000 系列、R2000 系列、5000 系列、7000 系列、V1000 系列、V2000 系列和 V3000 系列。

（来自：安全客）