AMD"INCEPTION"CPU漏洞被披露

AMD"INCEPTION"CPU漏洞被披露AMD就此事发表的声明如下：AMD收到了一份名为"INCEPTION"的外部报告，其中描述了一种新的投机性侧信道攻击。AMD认为，"Inception"只可能在本地被利用，如通过下载的恶意软件，并建议客户采用最佳安全实践，包括运行最新的软件和恶意软件检测工具。目前，AMD尚未发现在研究环境之外有任何利用"Inception"的行为。对于基于"Zen3"和"Zen4"CPU架构的产品，AMD建议客户酌情使用μcode补丁或BIOS更新。对于基于"Zen"或"Zen2"CPU架构的产品，不需要µcode补丁或BIOS更新，因为这些架构在设计上已经可以从分支预测器中清除分支类型预测。AMD计划向AMD安全公告中列出的原始设备制造商(OEM)、原始设计制造商(ODM)和主板制造商发布更新的AGESA™版本。请向您的原始设备制造商、原始设计制造商或主板制造商咨询针对您的产品的BIOS更新。AMD同时表示该漏洞对计算机性能的影响可能微乎其微。有关AMD处理器新漏洞的更多详情，请访问AMD.com：https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7005.html...PC版：https://www.cnbeta.com.tw/articles/soft/1375805.htm手机版：https://m.cnbeta.com.tw/view/1375805.htm

谷歌专家发现 Zenbleed 远程执行漏洞，影响所有 AMD Zen 2 CPU 。

谷歌专家发现Zenbleed远程执行漏洞，影响所有AMDZen2CPU。谷歌信息安全研究员TavisOrmandy今天发布博文，表示基于Zen2的AMD处理器中发现了新的安全漏洞，并将其命名为Zenbleed。Ormandy表示所有基于Zen2的AMD处理器均受到影响，黑客可以利用该漏洞，窃取加密密钥和用户登录凭证等受到保护的信息。Ormandy表示黑客不需要物理访问计算机，可以通过网页上的恶意JS脚本执行。Ormandy于2023年5月15日向AMD报告了该问题，AMD官方已经发布了有针对性的补丁，Ormandy并未确认新版固件是否已完全修复该漏洞。该漏洞追踪编号为CVE-2023-20593，能以每核心每秒30KB的速度窃取机密数据。此攻击会影响CPU上运行的所有软件，包括虚拟机、沙箱、容器和进程。受影响的Zen2处理器清单：•AMDRyzen3000系列处理器；•AMDRyzenPRO3000系列处理器；•AMDRyzenThreadripper3000系列处理器；•带Radeon集显的AMDRyzen4000系列处理器；•AMDRyzenPRO4000系列处理器；•带Radeon集显的AMDRyzen5000系列处理器；•带Radeon集显的AMDRyzen7020系列处理器；•AMDEPYCRome系列处理器。——、

最新补丁让OpenBSD终于开始支持AMD CPU微码更新

最新补丁让OpenBSD终于开始支持AMDCPU微码更新在OpenBSD上，fw_update工具可用于获取和应用非自由固件包，新提交的AMDCPU微代码支持补丁包括用于AMD处理器的fw_update匹配。就像在Linux和其他平台上一样，当AMD处理器微码的版本比处理器本身或系统BIOS在系统初始化时作为更新微码提供的版本更新时，就可以运行更新的AMD处理器微码。OpenBSD上的AMDCPU微代码更新是对现有BSD操作系统上英特尔CPU微代码更新支持的补充。有关OpenBSD的AMDCPU微代码更新的更多详情，请参阅OpenBSD期刊：https://undeadly.org/cgi?action=article;sid=20230723185853...PC版：https://www.cnbeta.com.tw/articles/soft/1372649.htm手机版：https://m.cnbeta.com.tw/view/1372649.htm

AMD EPYC CPU确认受CacheWrap漏洞影响 官方已提供补丁程序

AMDEPYCCPU确认受CacheWrap漏洞影响官方已提供补丁程序了解更多：https://cachewarpattack.com/CacheWarp利用AMD安全加密虚拟化（SEV）技术中的一个漏洞进行攻击，特别是针对SEV-ES（加密状态）和SEV-SNP（安全嵌套分页）版本。该攻击是一种基于软件的故障注入技术，可操控在SEV下运行的虚拟机(VM)的高速缓冲存储器。它巧妙地迫使客座虚拟机被修改的缓存行恢复到以前的状态。这种行为规避了SEV-SNP设计用于执行的完整性检查，使攻击者能够在不被检测到的情况下注入故障。与依赖特定客户虚拟机漏洞的攻击不同，CacheWarp的用途更广泛，也更危险，因为它并不依赖于目标虚拟机的特性。它利用了AMDSEV的底层架构弱点，因此对依赖该技术实现安全的系统构成了广泛的威胁。CacheWarp攻击可以绕过加密虚拟化等强大的安全措施，对安全计算环境中的数据保密性和完整性构成重大风险。AMD已经为EPYCMilan发布了更新，提供了热加载微码补丁，并更新了固件镜像，预计不会造成任何性能下降：https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3005.html至于其余几代产品，AMD表示，由于SEV和SEV-ES功能不是为保护客户虚拟机内存完整性而设计的，而且SEV-SNP也不可用，因此第一代或第二代EPYC处理器（Naples和Rome）无法使用缓解措施。...PC版：https://www.cnbeta.com.tw/articles/soft/1397127.htm手机版：https://m.cnbeta.com.tw/view/1397127.htm

谷歌揭示AMD/Intel处理器安全漏洞：“Downfall”(Intel)和“Zenbleed”(AMD)

谷歌揭示AMD/Intel处理器安全漏洞：“Downfall”(Intel)和“Zenbleed”(AMD)昨天，谷歌发布了一篇文章，描述了第6至11代英特尔CPU(命名为Downfall，CVE-2022-40982)和AMDZen2(命名为Zenbleed，CVE-2023-20593)中的漏洞。在团队发现这些漏洞后，已及时通知了所有受影响的公司。英特尔在“”的帖子中列出了此漏洞的详细信息。准确了解哪些IntelCPU受到影响。AMD在公告中详细介绍了此漏洞。——

AMD CPU被发现新型安全漏洞：锐龙全家中招

AMDCPU被发现新型安全漏洞：锐龙全家中招如今的CPU处理器异常复杂，被发现安全漏洞也是平常事，以往发现的几次重要漏洞中AMD的锐龙处理器因为问世较晚，经常躲过一劫，Intel处理器才是重灾区，不过这一次发布的新漏洞没Intel什么事，AMD的三代锐龙都中招了。这个新型漏洞被命名为SQUIP，由?PICLeak漏洞研究团队及奥地利格拉茨科技大学的团队联合发现，它跟处理器的SMT多线程架构设计有关，AMD的Zen架构中每个执行单元都有自己的调度程序队列，就会被SQUIP影响，让黑客有机会进行侧信道进行攻击、提权。根据研究团队的测试，这个漏洞可以让黑客在38分钟内攻破RSA-4096密钥。这个漏洞主要在AMD处理器上发现，Intel的CPU使用了不同的架构，没有这个问题，苹果的M1处理器架构类似AMDCPU，但不支持SMT多线程，因此也不受影响。AMD将这个漏洞编号为MD-SB-1039，确认影响的处理器包括Zen1、Zen2及Zen3/3+架构处理器，也就是锐龙2000到锐龙6000在内的桌面版、移动版、服务器版，全家都中招了。PC版：https://www.cnbeta.com/articles/soft/1304119.htm手机版：https://m.cnbeta.com/view/1304119.htm