IT之家 2 月 5 日消息，昨日，AMD 與谷歌公開披露了發現於 2024 年 9 月的 AMD Zen 1 至 Zen 4 系列 CPU 中的關鍵微碼漏洞，該漏洞主要影響服務器 / 企業級平台的 EPYC CPU。這一漏洞編號為 CVE-2024-56161，谷歌安全研究團隊在 GitHub 發布的帖子以及 AMD 針對該漏洞發布的安全公告中對其進行了更為詳細的討論。

IT之家注意到，根據谷歌的文檔顯示，該問題最初於 2024 年 9 月 25 日被報告，隨後 AMD 在約兩個半月後的 2024 年 12 月 17 日對其進行了修復。而公開披露日期則推遲至昨日，以便 AMD 的客戶有時間在該問題廣泛傳播之前應用修復程序。

AMD 官方表述稱：「谷歌的研究人員向 AMD 提供了有關潛在漏洞的信息，若該漏洞被成功利用，可能會導致基於 SEV 的機密訪客保護功能失效。」

SEV 指的是安全加密虛擬化，這是服務器級 AMD CPU 用於實現虛擬化的一項功能。通常，這意味着遠程或本地的「瘦客戶端（AMD）」，其數據存儲和管理在中央服務器上。用戶用於訪問數據的設備功能相對次要，有時甚至幾乎沒有處理能力。具體的設定可能有所不同，但對多個用戶進行虛擬化的目的通常是為了節省硬件成本或提供更高程度的安全性，有時兩者兼具。

通過微碼攻擊導致 SEV 保護功能失效，意味着受此攻擊影響的虛擬化用戶原本保密的數據可能會被盜取。此外，惡意的微碼加載可能引發的數據盜竊之外的更多攻擊。

受影響的 AMD EPYC CPU 具體系列包括：AMD EPYC 7001（那不勒斯）、AMD Epyc 7002（羅馬）、AMD Epyc 7003（米蘭和米蘭 - X）以及 AMD Epyc 9004（熱那亞、熱那亞 - X 以及貝加莫 / 錫耶納）。好在是，AMD 已經為受影響的 CPU 發布了微碼更新，使用適當的更新工具（如 BIOS 更新等）應該可以解決問題。但 AMD 指出，對於某些平台，可能需要進行 SEV 固件更新，以通過 SEV-SNP 認證來正確支持該修復程序。