美国超微半导体公司（AMD）在近期发布的安全公告中，确认其多款嵌入式处理器存在多个安全漏洞，这些漏洞可能导致 任意代码执行、内存损坏或权限提升等严重后果。AMD 本次更新的重点在于修复其霄龙（EPYC）及锐龙（Ryzen）系列中的这些漏洞，尤其是针对嵌入式设备的安全性考虑，官方强烈建议用户尽快进行 固件更新。

根据公告，安全事务涉及的漏洞高达十个，其中有三个漏洞的通用漏洞评分系统（CVSS）评分为 7.5 分，属高危级别，相应编号为：CVE-2023-31342、CVE-2023-31343 和 CVE-2023-31345。这些漏洞源自 系统管理模式（SMM） 中输入验证不足的缺陷，允许具有特权的攻击者覆盖 系统管理随机存取存储器（SMRAM），这可能进一步导致有害代码的执行。

另一个名为 CVE-2023-31352 的漏洞，其CVSS评分为6.0，属于中危类别，主要影响 安全加密虚拟化（SEV） 的固件。AMD 警告说，该漏洞同样可能令具有特权的攻击者能够读取未加密的内存，从而导致虚拟机客户机的 私有数据丢失，这对各类数据敏感的应用尤其具有风险。

AMD 对其他若干中危漏洞进行了补充说明，其中包括：

1. CVE-2023-20515（CVSS 评分 5.7）涉及 固件可信平台模块（fTPM） 驱动程序的不当访问控制，这可能导致一个特权攻击者损坏系统内存，严重影响数据的完整性。

2. CVE-2023-20582（CVSS 评分 5.3）涉及输入输出内存管理单元（IOMMU）存在缺陷，该缺陷可能被利用以绕过 安全加密虚拟化—安全嵌套分页（SEV-SNP） 中的受保护内存区域（RMP）检查，对虚拟机客户机内存的安全引发严重影响。

3. CVE-2023-31356（CVSS 评分 4.4）关联的安全加密虚拟化固件清理程序不完整，该缺陷可能导致 虚拟机客户机的私有内存受到破坏，同样影响数据的完整性。

针对漏洞的官方声明中，AMD 确认这些威胁影响的产品线包括霄龙嵌入式 3000 系列、7002 系列、7003 系列及 9004 系列。此外，锐龙嵌入式 R1000、R2000、5000、7000、V1000、V2000、V3000系列均在影响范围内。为了应对这一系列的安全隐患，AMD 建议用户及时更新平台初始化（PI）固件，相关的更新版本包括：

1. 适用于霄龙嵌入式 7003 系列的 EmbMilanPI-SP3 1.0.0.8（2024年1月15日发布）
2. 适用于霄龙嵌入式 9004 系列的 EmbGenoaPI-SP5 1.0.0.7（2024年7月15日发布）
3. 适用于锐龙嵌入式 R1000 系列的 EmbeddedPI-FP5 1.2.0.C（2024年6月14日发布）
4. 适用于锐龙嵌入式 7000 系列的 EmbeddedAM5PI 1.0.0.1（2024年7月31日发布）

AMD 对于所有使用受影响嵌入式处理器的客户和供应商提出了以下建议：

• 尽快应用最新的固件更新，从而降低潜在的被攻击风险。
• 与原始设备制造商（OEM）供应商合作，确保 基本输入输出系统（BIOS） 及固件补丁得以妥善部署。
• 实施严格的 访问控制策略，防止未经授权的固件修改。

从整体来看，AMD 本次漏洞披露以及针对性的修复措施再次凸显出在如今高度数字化的环境下，嵌入式设备的安全性是不可忽视的重要议题。随着物联网和边缘计算的快速发展，嵌入式处理器的广泛应用使得相关安全隐患愈发显著。用户和企业都应提高警惕，深入了解并采取必要的预防措施，确保数据和系统的安全。

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！