最近披露的 AMD CPU 微碼簽名驗證漏洞在技術社群引發了激烈討論,特別是關於其對隨機數生成和系統安全性的影響。這個影響 Zen 1 到 Zen 4 處理器的漏洞允許具有管理員許可權的攻擊者載入惡意微碼補丁,引發了對加密操作安全性的擔憂。
受影響的硬體:
- AMD Zen 1
- AMD Zen 2
- AMD Zen 3
- AMD Zen 4
RDRAND 爭議
概念驗證演示強制 RDRAND 指令持續返回數字4的情況,重新引發了對基於 CPU 隨機數生成的爭議。社群討論顯示,雖然 Linux 的實現將 RDRAND 作為多個熵源之一,但該漏洞暴露了對 CPU 層面信任的更深層次擔憂。正如一位技術專家在評論中指出:
「問題在於,從微碼中可能損害核心的其他方式至少在理論上是可以檢測的。但如果 RDRAND 暗中用當前時間的 AES 加密結果替換所有隨機數,你將無法透過觀察行為發現這一點。」
雲安全影響
這個漏洞對使用 AMD 安全加密虛擬化和安全巢狀分頁(SEV-SNP)的雲計算環境具有特殊意義。雲服務提供商和使用者現在正在努力解決信任驗證問題,不過 AMD 已經透過 SNP 認證報告中的 TCB 值提供了確認修復應用的機制。
技術理解和未來影響
社群的反應突顯了除安全問題之外的諸多有趣影響。研究人員指出,載入自定義微碼的能力可能推進 CPU 逆向工程工作,但這必須權衡安全風險。由於 ASUS 測試版 BIOS 的意外洩露,該漏洞的披露時間似乎被加快,為這個故事增添了另一層面。
時間線:
- 報告時間:2024年9月25日
- 修復時間:2024年12月17日
- 披露時間:2025年2月3日
- 完整細節釋出:2025年3月5日
緩解措施和信任重建
AMD 和主要雲服務提供商正在努力解決這個漏洞,關鍵客戶已經在保密協議下收到了修復方案。然而,這一事件引發了關於硬體信任和驗證的根本性問題。安全社群強調,重建受影響系統的信任需要的不僅僅是簡單的補丁,特別是對於高安全性工作負載而言。
參考連結:AMD: 微碼簽名驗證漏洞