AMD披露SEV技术存在高危漏洞：管理员可注入恶意微代码

据Cybersecuritynews消息，AMD 披露其 SEV 技术存在高危漏洞（CVE-2024-56161）。由于 CPU ROM 微代码补丁加载程序签名验证不当，拥有管理员权限的攻击者能绕过检查，注入恶意 CPU 微代码，危及受 SEV-SNP 保护的虚拟机安全，可能暴露加密数据或提升权限。该漏洞影响多代 AMD 处理器，CVSS 评分 7.2。 目前，AMD 已发布固件更新，要求平台使用 1.55.29 及以上版本 SEV 固件，更新 BIOS 镜像 。更新后限制热加载微代码，以防异常。使用 AMD EPYC 处理器的组织应尽快更新 BIOS，验证认证报告，加强管理。