AMD 近日发布编号为 AMD-SB-7009 的安全公告，披露 4 个等级为“高危”的漏洞，影响服务器、台式机、工作站、HEDT、移动和嵌入式 Zen 1-4 处理器，并推荐用户尽快安装补丁。

　　根据 AMD 公告信息，本次披露的 4 个“高危”漏洞均存在于双串行外设接口中，黑客利用该漏洞可发起拒绝服务攻击，或者远程执行任意代码。

　　这 4 个漏洞简要介绍如下：

　　CVE-2023-20576：AGESA 验证资料真实性不充分，可能会允许攻击者更新 SPI ROM 数据，从而可能导致拒绝服务或权限升级。CVE-2023-20577：SMM 模组中的堆溢位可能允许攻击者利用第二个漏洞，从而能够写入 SPI 闪存，从而导致执行任意代码。CVE-2023-20579：AMD SPI 保护功能中的存取控制不当，黑客利用具有 Ring0特权存取的使用者绕过保护，从而可能导致完整性和可用性的损失。CVE-2023-20587︰系统管理模式 中的不当存取控制，攻击者存取 SPI 闪存，导致执行任意代码。使用 Ryzen 3000 系列台式机 CPU、4000 系列移动 APU、嵌入式 V2000 芯片或 V3000 系统的用户在接下来的几个月中应格外警惕，因为影响这几代产品的问题尚未全部得到修补。

　　AMD 计划于本月晚些时候进行的更新将解决 4000 系列 APU 的漏洞；而 2024 年 3 月的 BIOS 更新将修复 3000 系列 CPU 的漏洞；4 月修复嵌入式产品。

　　CPU代已修复的最低版本上线st Gen AMD EPYCNaplesPI 1.0.0.K2023-Apr-272nd Gen AMD EPYCRomePI 1.0.0.H2023-Nov-073rd Gen AMD EPYCMilanPI 1.0.0.C2023-Dec-184th Gen AMD EPYCGenoaPI 1.0.0.82023-Jun-09Ryzen 3000 DesktopComboAM4 1.0.0.B附上AMD官方公告链接地址，感兴趣的用户可以深入阅读。