AMD는 모든 Zen CPU 세대에 걸쳐 새로운 BIOS 측 취약점을 공개했습니다 . 이는 특히 SPI 연결에 영향을 미쳐 보안을 손상시켰습니다.
AMD의 새로 발견된 취약점은 잠재적으로 높은 수준의 보안 손상으로 이어질 수 있으며 모든 세대의 Zen CPU에 영향을 미치지만 BIOS 수정 사항이 출시됨
CPU 아키텍처 전반에 걸친 취약점의 출현은 놀라운 일이 아니지만, 이번에 AMD는 더 광범위한 소비자 기반에 영향을 미치는 훨씬 더 큰 것을 발견한 것으로 보이며, 그 심각도는 이번에도 “높음”으로 표시됩니다. 게다가 발견된 취약점은 마더보드의 BIOS에서도 입력됩니다. 따라서 이 문제는 실제로 민감하며 AMD에 따르면 언급된 결과에는 임의 코드의 “트리거” 등이 포함됩니다.
세부적으로 이동하면, AMD는 이 취약점이 4가지 다른 손상으로 분류되며 SPI 인터페이스의 “엉망”에 의존하여 서비스 거부, 임의 코드 실행 및 악성 활동으로 이어질 수 있다고 언급합니다. 시스템 무결성 우회. Team Red는 여러 CVE의 취약점을 설명했으며, 아래에서 조사 결과를 보고 비용이 얼마나 드는지 알아볼 수 있습니다.
| CVE | 심각성 | CVE 설명 |
| CVE-2023-20576 | 높은 | AGESA의 데이터 신뢰성 확인이 충분하지 않으면 공격자가 SPI ROM 데이터를 업데이트하여 잠재적으로 서비스 거부 또는 권한 상승을 초래할 수 있습니다. |
| CVE-2023-20577 | 높은 | SMM 모듈의 힙 오버플로로 인해 공격자가 SPI 플래시에 쓸 수 있는 두 번째 취약점에 액세스할 수 있게 되어 잠재적으로 임의 코드가 실행될 수 있습니다. |
| CVE-2023-20579 | 높은 | AMD SPI 보호 기능의 부적절한 액세스 제어로 인해 Ring0(커널 모드) 권한이 있는 사용자가 보호를 우회하여 잠재적으로 무결성 및 가용성이 손실될 수 있습니다. |
| CVE-2023-20587 | 높은 | SMM(시스템 관리 모드)의 부적절한 액세스 제어로 인해 공격자가 SPI 플래시에 액세스할 수 있어 잠재적으로 임의 코드가 실행될 수 있습니다. |
그러나 좋은 점은 위에서 언급한 취약점으로부터 안전을 유지하기 위해 AMD는 소비자에게 회사가 이미 출시한 최신 AGESA 버전으로 업데이트할 것을 권고했다는 것입니다.
새 버전은 AMD의 EPYC, Threadripper 및 Embedded 시리즈와 함께 모든 AMD Ryzen CPU 라인업에 대한 완화를 목표로 합니다. 이는 시스템에 올바른 AGESA 버전이 로드되어 있는 한 큰 문제가 되지 않음을 보여줍니다. 큰 거래. 그러나 Ryzen 4000G 및 5000G APU와 같은 특정 WeU는 해당 마더보드에 완화 패치를 받지 않았으므로 우려할 수 있습니다. 이는 주로 마더보드 제조업체에 따라 다릅니다. 그럼에도 불구하고 우리는 새로운 AGESA 버전이 곧 채택될 것이라고 믿습니다.
| CVE(AMD) | Ryzen 3000 시리즈 데스크탑 프로세서 | Ryzen 5000 시리즈 데스크탑 프로세서 | Radeon 그래픽을 탑재한 Ryzen 5000 시리즈 데스크탑 프로세서 | Ryzen 7000 시리즈 프로세서 | Radeon 그래픽을 탑재한 Athlon 3000 시리즈 데스크탑 프로세서 | Radeon 그래픽을 탑재한 Ryzen 4000 시리즈 데스크탑 프로세서 | |
| 나열된 모든 CVE를 완화하기 위한 최소 버전 | ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (2024년 3월 목표) |
ComboAM4v2 1.2.0.B (2023-08-25) |
콤보AM4v2PI 1.2.0.C (2024-02-07) |
ComboAM5 1.0.8.0 (2023-8-29) |
ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (2024년 3월 목표) |
콤보AM4v2PI 1.2.0.C (2024-02-07) |
|
| CVE-2023-20576 | 높은 | ComboAM4v2 1.2.0.B (2023-08-25) |
ComboAM4v2v 1.2.0.B (2023-08-25) |
ComboAM4v2 1.2.0.B (2023-08-25) |
ComboAM5 1.0.0.7b (2023-07-21) |
영향을받지 않았다 | ComboAM4v2 1.2.0.B (2023-08-25) |
| CVE-2023-20577 | 높은 | ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (2024년 3월 목표) |
ComboAM4v2 1.2.0.B (2023-08-25) |
ComboAM4v2 1.2.0.B (2023-08-25) |
ComboAM5 1.0.0.7b (2023-07-21) |
ComboAM4v2 1.2.0.B (2023-08-25)ComboAM4 1.0.0.B (2024년 3월 목표) |
ComboAM4v2 1.2.0.B (2023-08-25) |
| CVE-2023-20579 | 높은 | 영향을받지 않았다 | 영향을받지 않았다 | 콤보AM4v2PI 1.2.0.C (2024-02-07) |
ComboAM5 1.0.8.0 (2023-8-29) |
영향을받지 않았다 | 콤보AM4v2PI 1.2.0.C (2024-02-07) |
| CVE-2023-20587 | 높은 | 영향을받지 않았다 | 영향을받지 않았다 | 영향을받지 않았다 | 영향을받지 않았다 | 영향을받지 않았다 | 영향을받지 않았다 |
| CVE(AMD) | Radeon 그래픽을 탑재한 Ryzen 6000 시리즈 프로세서 | Radeon 그래픽을 탑재한 Ryzen 7035 시리즈 프로세서 | Radeon 그래픽을 탑재한 Ryzen 5000 시리즈 프로세서 | Radeon 그래픽을 탑재한 Ryzen 3000 시리즈 프로세서 | Radeon 그래픽을 탑재한 Ryzen 7040 시리즈 프로세서 | Ryzen 7045 시리즈 모바일 프로세서 | |
| 나열된 모든 CVE를 완화하기 위한 최소 버전 | 렘브란트PI-FP7 1.0.0.A (2023-12-28) |
렘브란트PI-FP7 1.0.0.A (2023-12-28) |
세잔PI-FP6 1.0.1.0 (2024-01-25) |
세잔PI-FP6 1.0.1.0 (2024-01-25) |
PhoenixPI-FP8-FP7 1.1.0.0 (2023-10-06) |
DragonRangeFL1PI 1.0.0.3b (2023-08-30) |
|
| CVE-2023-20576 | 높은 | 렘브란트PI-FP7 1.0.0.9b (2023-09-13) |
렘브란트PI-FP7 1.0.0.9b (2023-09-13) |
영향을받지 않았다 | 영향을받지 않았다 | PhoenixPI-FP8-FP7 1.0.0.2 (2023-08-02) |
DragonRangeFL1PI 1.0.0.3a (2023-05-24) |
| CVE-2023-20577 | 높은 | 렘브란트PI-FP7 1.0.0.9b (2023-09-13) |
렘브란트PI-FP7 1.0.0.9b (2023-09-13) |
세잔PI-FP6 1.0.0.F (2023-6-20) |
세잔PI-FP6 1.0.0.F (2023-6-20) |
PhoenixPI-FP8-FP7 1.0.0.2 (2023-08-02) |
DragonRangeFL1PI 1.0.0.3a (2023-05-24) |
| CVE-2023-20579 | 높은 | 렘브란트PI-FP7 1.0.0.A (2023-12-28) |
렘브란트PI-FP7 1.0.0.A (2023-12-28) |
세잔PI-FP6 1.0.1.0 (2024-01-25) |
세잔PI-FP6 1.0.1.0 (2024-01-25) |
PhoenixPI-FP8-FP7 1.1.0.0 (2023-10-06) |
DragonRangeFL1PI 1.0.0.3b (2023-08-30) |
| CVE-2023-20587 | 높은 | 영향을받지 않았다 | 영향을받지 않았다 | 영향을받지 않았다 | 영향을받지 않았다 | 영향을받지 않았다 | 영향을받지 않았다 |
뉴스 출처: AMD
답글 남기기