AMD披露31个处理器新漏洞:涉及多个系列的消费级处理器与霄龙处理器

AMD近日发布两份公告透露了31个处理器漏洞，其中3个漏洞涉及锐龙、速龙、线程撕裂者、线程撕裂者Pro处理器，28个漏洞涉及霄龙处理器。

涉及消费级处理器的三个漏洞分为CVE-2021-26316、CVE-2021-26346及CVE-2021-46795。

CVE-2021-26316风险等级为高，指未能验证BIOS中的通信缓冲区和通信服务可能允许攻击者篡改缓冲区，可能导致任意代码在SMM（系统管理模式）中执行。

CVE-2021-26346风险等级为中，指未经验证的 ASP（AMD 安全处理器）引导加载程序中的整数操作可能允许攻击者在 SPI 闪存的L2目录表中造成整数溢出，从而导致潜在的拒绝服务。

CVE-2021-46795风险等级为低，存在 TOCTOU（Time-of-check Time-of-use）漏洞，攻击者可能使用被破坏的BIOS导致TEE OS越界读取内存，可能会导致拒绝服务。

受到此次漏洞影响的消费级处理器包括：

锐龙2000系列处理器

锐龙2000G系列处理器

锐龙5000G系列处理器

线程撕裂者2000系列HEDT平台处理器

线程撕裂者2000 Pro系列处理器

线程撕裂者3000系列HEDT平台处理器

线程撕裂者3000 Pro系列处理器

锐龙2000系列移动版处理器

锐龙3000系列移动版处理器

锐龙5000系列移动版处理器

锐龙6000系列移动版处理器

速龙3000系列移动处理器

AMD还透露了影响霄龙处理器的28个漏洞，其中四个为高风险，十五个为中风险，九个为低风险。

AMD已将AGESA微码交付OEM厂商，用户可访问产品官网查询是否有新版BIOS下载，在包括谷歌、苹果、甲骨文的研究人员也参与了漏洞的发现及调查。