IT之家 2 月 5 日消息，昨日，AMD 与谷歌公开披露了发现于 2024 年 9 月的 AMD Zen 1 至 Zen 4 系列 CPU 中的关键微码漏洞，该漏洞主要影响服务器 / 企业级平台的 EPYC CPU。这一漏洞编号为 CVE-2024-56161，谷歌安全研究团队在 GitHub 发布的帖子以及 AMD 针对该漏洞发布的安全公告中对其进行了更为详细的讨论。

IT之家注意到，根据谷歌的文档显示，该问题最初于 2024 年 9 月 25 日被报告，随后 AMD 在约两个半月后的 2024 年 12 月 17 日对其进行了修复。而公开披露日期则推迟至昨日，以便 AMD 的客户有时间在该问题广泛传播之前应用修复程序。

AMD 官方表述称：“谷歌的研究人员向 AMD 提供了有关潜在漏洞的信息，若该漏洞被成功利用，可能会导致基于 SEV 的机密访客保护功能失效。”

SEV 指的是安全加密虚拟化，这是服务器级 AMD CPU 用于实现虚拟化的一项功能。通常，这意味着远程或本地的“瘦客户端（AMD）”，其数据存储和管理在中央服务器上。用户用于访问数据的设备功能相对次要，有时甚至几乎没有处理能力。具体的设置可能有所不同，但对多个用户进行虚拟化的目的通常是为了节省硬件成本或提供更高程度的安全性，有时两者兼具。

通过微码攻击导致 SEV 保护功能失效，意味着受此攻击影响的虚拟化用户原本保密的数据可能会被盗取。此外，恶意的微码加载可能引发的数据盗窃之外的更多攻击。

受影响的 AMD EPYC CPU 具体系列包括：AMD EPYC 7001（那不勒斯）、AMD Epyc 7002（罗马）、AMD Epyc 7003（米兰和米兰 - X）以及 AMD Epyc 9004（热那亚、热那亚 - X 以及贝加莫 / 锡耶纳）。好在是，AMD 已经为受影响的 CPU 发布了微码更新，使用适当的更新工具（如 BIOS 更新等）应该可以解决问题。但 AMD 指出，对于某些平台，可能需要进行 SEV 固件更新，以通过 SEV-SNP 认证来正确支持该修复程序。