IT之家 2 月 15 日消息，AMD 近日發布編號為 AMD-SB-7009 的安全公告，披露 4 個等級為“高危”（High）的漏洞，影響服務器、臺式機、工作站、HEDT、移動和嵌入式 Zen 1-4 處理器，并推薦用戶盡快安裝補丁。

　　根據 AMD 公告信息，本次披露的 4 個“高危”漏洞均存在于雙串行外設接口（SPI）中，黑客利用該漏洞可發起拒絕服務攻擊，或者遠程執行任意代碼。

　　這 4 個漏洞簡要介紹如下：

• 　　CVE-2023-20576：AGESA 驗證資料真實性不充分，可能會允許攻擊者更新 SPI ROM 數據，從而可能導致拒絕服務或權限升級。

  　　

• 　　CVE-2023-20577：SMM 模組中的堆溢位可能允許攻擊者利用第二個漏洞，從而能夠寫入 SPI 閃存，從而導致執行任意代碼。

  　　

• 　　CVE-2023-20579：AMD SPI 保護功能中的存取控制不當，黑客利用具有 Ring0（核心模式）特權存取的使用者繞過保護，從而可能導致完整性和可用性的損失。

  　　

• 　　CVE-2023-20587︰系統管理模式（SMM） 中的不當存取控制，攻擊者存取 SPI 閃存，導致執行任意代碼。

  　　

　　使用 Ryzen 3000 系列臺式機 CPU、4000 系列移動 APU、嵌入式 V2000 芯片或 V3000 系統的用戶在接下來的幾個月中應格外警惕，因為影響這幾代產品的問題尚未全部得到修補。

　　AMD 計劃于本月晚些時候進行的更新將解決 4000 系列 APU 的漏洞；而 2024 年 3 月的 BIOS 更新將修復 3000 系列 CPU 的漏洞；4 月修復嵌入式產品。

　　CPU代已修復的最低版本上線日期1st Gen AMD EPYCNaplesPI 1.0.0.K2023-Apr-272nd Gen AMD EPYCRomePI 1.0.0.H2023-Nov-073rd Gen AMD EPYCMilanPI 1.0.0.C2023-Dec-184th Gen AMD EPYCGenoaPI 1.0.0.82023-Jun-09Ryzen 3000 DesktopComboAM4 1.0.0.B2024-MarRyzen 5000 DesktopComboAM4v2 1.2.0.B2023-Aug-25Ryzen 5000 Desktop w/ RadeonComboAM4v2PI 1.2.0.C2024-Feb-07Ryzen 7000 DesktopComboAM5 1.0.8.02023-Aug-29Ryzen 3000 Desktop w/ RadeonComboAM4 1.0.0.B2024-MarRyzen 4000 Desktop w/ RadeonComboAM4v2PI 1.2.0.C2024-Feb-07Ryzen Threadripper 3000CastlePeakPI-SP3r3 1.0.0.A2023-Nov-21Ryzen Threadripper Pro 3000WXChagallWSPI-sWRX8 1.0.0.72024-Jan-11Ryzen Threadripper Pro 5000WXChagallWSPI-sWRX8 1.0.0.72024-Jan-11Athlon 3000 Mobile w/ RadeonPollockPI-FT5 1.0.0.62023-Oct-26Ryzen 3000 Mobile w/ RadeonPicassoPI-FP5 1.0.1.02023-May-31Ryzen 4000 Mobile w/ RadeonRenoirPI-FP6 1.0.0.D2024-FebRyzen 5000 Mobile w/ RadeonCezannePI-FP6 1.0.1.02024-Jan-25Ryzen 7020 w/ RadeonMendocinoPI-FT6 1.0.0.62024-Jan-03Ryzen 6000 w/ RadeonRembrandtPI-FP7 1.0.0.A2023-Dec-28Ryzen 7035 w/ RadeonRembrandtPI-FP7 1.0.0.A2023-Dec-28Ryzen 5000 w/ RadeonCezannePI-FP6 1.0.1.02024-Jan-25Ryzen 3000 w/ RadeonCezannePI-FP6 1.0.1.02024-Jan-25Ryzen 7040 w/ RadeonPhoenixPI-FP8-FP7 1.1.0.02023-Oct-06Ryzen 7045 MobileDragonRangeFL1PI 1.0.0.3b2023-Aug-30Eypc Embedded 3000Snowyowl PI 1.1.0.B2023-Dec-15Epyc Embedded 7002EmbRomePI-SP3 1.0.0.B2023-Dec-15Epyc Embedded 7003EmbMilanPI-SP3 1.0.0.82024-Jan-15Epyc Embedded 9003EmbGenoaPI-SP5 1.0.0.32023-Sep-15Ryzen Embedded R1000EmbeddedPI-FP5 1.2.0.A2023-Jul-31Ryzen Embedded R2000EmbeddedPI-FP5 1.0.0.22023-Jul-31Ryzen Embedded 5000EmbAM4PI 1.0.0.42023-Sep-22Ryzen Embedded V1000EmbeddedPI-FP5 1.2.0.A2023-Jul-31Ryzen Embedded V2000EmbeddedPI-FP6 1.0.0.92024-AprRyzen Embedded V3000EmbeddedPI-FP7r2 1.0.0.92024-Apr

　　IT之家附上AMD官方公告鏈接地址，感興趣的用戶可以深入閱讀。