在官方新聞中,AMD承認(rèn)UEFI主板固件中存在潛在漏洞,并承諾將在6月底推出修復(fù)程序。據(jù)稱,AMD向董事會(huì)合作伙伴提供的AGESA微代碼中存在稱為“ SMM標(biāo)注特權(quán)升級(jí)”的安全漏洞。它使攻擊者可以在操作系統(tǒng)不知道的情況下(通過(guò)AGESA)執(zhí)行任意代碼。
該漏洞最初由安全研究人員Danny Odler報(bào)告,該漏洞存在于UEFI映像一部分的“系統(tǒng)管理模式”(SSM,Ring -2)代碼中。這是在基于x86的處理器上可執(zhí)行的最底層和特權(quán)代碼的一部分。它不僅可以攻擊內(nèi)核,還可以攻擊虛擬機(jī)管理程序以及任何低級(jí)OS組件。
根據(jù)AMD的官方聲明,此漏洞僅影響2016年至2019年之間發(fā)布的某些客戶端和嵌入式APU。AMD已為供應(yīng)商提供了更新的AGESA代碼,而其余的則計(jì)劃于6月底交付。
