【安全资讯】AMD修复高危漏洞 可能导致恶意微代码加载

概要：

AMD近期发布了固件更新，以修复一个高危安全漏洞，该漏洞可能被黑客利用在未打补丁的设备上加载恶意CPU微代码。此漏洞（CVE-2024-56161）源于AMD CPU ROM微代码补丁加载器中的不当签名验证，攻击者可借此获取机密信息，影响系统的保密性和完整性。

主要内容：

该漏洞允许具有本地管理员权限的攻击者利用AMD的安全加密虚拟化技术（SEV-SNP）中的缺陷，进而影响在该环境下运行的机密虚拟机。SEV技术旨在隔离虚拟机与虚拟机监控程序，但该漏洞使得恶意微代码的执行成为可能。AMD已发布补救措施，要求所有受影响平台进行微代码更新，以阻止恶意微代码的执行。

此外，部分平台还需更新SEV固件以确保SEV-SNP的认证。用户需更新系统BIOS并重启系统，以启用补救措施的认证。谷歌安全团队指出，该漏洞利用了不安全的哈希函数进行微代码更新的签名验证，攻击者可以创建任意的恶意微代码补丁，影响AMD最新的SEV-SNP保护的机密计算工作负载。

AMD还收到了来自国立台湾大学的报告，详细说明了针对SEV的基于缓存的侧信道攻击，这些攻击影响了从第一代到第四代的AMD EPYC处理器。AMD建议开发者遵循最佳实践，以防止此类攻击的发生。