在官方新聞中,AMD承認UEFI主板固件中存在潛在漏洞,并承諾將在6月底推出修復程序。據稱,AMD向董事會合作伙伴提供的AGESA微代碼中存在稱為“ SMM標注特權升級”的安全漏洞。它使攻擊者可以在操作系統不知道的情況下(通過AGESA)執行任意代碼。
該漏洞最初由安全研究人員Danny Odler報告,該漏洞存在于UEFI映像一部分的“系統管理模式”(SSM,Ring -2)代碼中。這是在基于x86的處理器上可執行的最底層和特權代碼的一部分。它不僅可以攻擊內核,還可以攻擊虛擬機管理程序以及任何低級OS組件。
根據AMD的官方聲明,此漏洞僅影響2016年至2019年之間發布的某些客戶端和嵌入式APU。AMD已為供應商提供了更新的AGESA代碼,而其余的則計劃于6月底交付。
