AMD和谷歌于2024年9月发现了一个关键的微代码漏洞,该漏洞影响了AMD Zen 1至Zen 4系列的CPU,尤其是服务器和企业级平台的EPYC处理器。这个漏洞编号为CVE-2024-56161,谷歌安全研究团队在GitHub上对其进行了详细说明,AMD也发布了相关的安全公告。
谷歌的文档显示,该问题最初在2024年9月25日被发现,AMD在大约两个半月后的2024年12月17日完成了修复。为了给AMD的客户足够的时间来应用修复措施,避免问题进一步扩散,公开披露的时间被推迟到了2025年2月3日。
AMD在官方声明中提到:“谷歌的研究人员向AMD报告了一个潜在的漏洞。如果该漏洞被成功利用,可能会导致基于SEV(Secure Encrypted Virtualization,安全加密虚拟化)的保密虚拟机保护失效。”SEV是一种用于服务器级AMD CPU的功能,主要用于支持虚拟化技术。这种技术通常用于远程或现场的“瘦客户端”,它们的数据存储和管理在中央服务器中。
这些客户端的设备通常处理能力较弱,甚至几乎没有处理能力。虚拟化多个用户的主要目的是节省硬件成本或提高安全性,有时两者兼得。
如果通过微代码漏洞导致SEV保护失效,原本保密的虚拟化用户数据可能会被窃取。然而,恶意加载微代码还可能导致比数据窃取更严重的安全问题。
受影响的AMD EPYC CPU系列包括:AMD EPYC 7001(Naples,那不勒斯)、AMD EPYC 7002(Rome,罗马)、AMD EPYC 7003(Milan和Milan-X,米兰及米兰-X)以及AMD EPYC 9004(Genoa、Genoa-X以及Bergamo/Siena,热那亚、热那亚-X和贝尔加莫/锡耶纳)。幸运的是,AMD已经为受影响的CPU发布了微代码更新。用户可以通过适当的更新工具(例如BIOS更新等)来解决问题。不过,AMD也指出,某些平台可能需要进行SEV固件更新,以通过SEV-SNP认证来正确支持修复。
