主板厂商正陆续推出基于AMD AGESA 1.2.0.3e固件的新版BIOS更新。此次更新旨在修复一个可能允许黑客通过可信平台模块(TPM)读取敏感数据的安全漏洞。值得注意的是,部分厂商提供的BIOS更新具有不可逆性——一旦安装就无法回退至旧版本。
该安全漏洞的利用原理是触发TPM2.0例程之外的越界读取操作。攻击者借此不仅能获取敏感数据,还可全面破坏TPM功能模块。漏洞根源在于TPM2.0模块库中一个CVSS评分为6.6(中危)的缺陷(编号CVE-2025-2884),该模块库包含TPM2.0芯片执行各项功能所需的标准代码。
虽然AGESA 1.2.0.3e固件仅面向AM5平台处理器,但受此安全漏洞影响的AMD CPU范围更广。建议用户查阅官方安全公告确认所用处理器是否在修复之列。该漏洞的特殊性在于仅需标准用户模式权限即可利用,与以往需要内核级权限的漏洞(例如可执行未签名微码的漏洞)存在显著差异。
受影响处理器包括:
桌面平台:从速龙3000“Dali”/锐龙3000“Matisse”至锐龙9000“Granite Ridge”
移动平台:从锐龙3000移动版“Picasso”至锐龙AI 300“Strix Point”
工作站平台:从线程撕裂者3000“Castle Peak”至线程撕裂者7000“Storm Peak”
目前多数处理器已在此前数月陆续获得补丁,AM5平台CPU则是最后获得更新的产品线。
华硕(Asus)、微星(MSI)等主板厂商已开始推送基于AGESA 1.2.0.3e固件的BIOS更新。除修复TPM漏洞外,新固件还新增了对即将发布的锐龙处理器(可能指锐龙9000F系列)的支持。建议用户前往主板厂商支持页面查询并安装最新BIOS更新。
