科技猎AMD承诺在2020年6月底之前修复固件漏洞
在官方新闻中,AMD承认UEFI主板固件中存在潜在漏洞,并承诺将在6月底推出修复程序。据称,AMD向董事会合作伙伴提供的AGESA微代码中存在称为“ SMM标注特权升级”的安全漏洞。它使攻击者可以在操作系统不知道的情况下(通过AGESA)执行任意代码。
该漏洞最初由安全研究人员Danny Odler报告,该漏洞存在于UEFI映像一部分的“系统管理模式”(SSM,Ring -2)代码中。这是在基于x86的处理器上可执行的最底层和特权代码的一部分。它不仅可以攻击内核,还可以攻击虚拟机管理程序以及任何低级OS组件。
根据AMD的官方声明,此漏洞仅影响2016年至2019年之间发布的某些客户端和嵌入式APU。AMD已为供应商提供了更新的AGESA代码,而其余的则计划于6月底交付。
