近日，AMD與谷歌聯合宣布了一項關于AMD Zen系列CPU的重要安全發現。這一關鍵微碼漏洞首次于2024年9月被揭露，主要涉及服務器及企業級平臺的EPYC CPU，具體涵蓋Zen 1至Zen 4系列。漏洞編號CVE-2024-56161，在谷歌安全研究團隊于GitHub發布的報告以及AMD的官方安全公告中得到了詳盡闡述。

據谷歌的文檔記錄，該漏洞于去年9月25日首次被報告給AMD。經過約兩個半月的努力，AMD在2024年12月17日成功修復了這一問題。然而，為了給予AMD客戶充足的時間在應用環境中部署修復措施，防止漏洞信息被惡意利用，雙方決定將公開披露日期推遲至近日。

AMD官方聲明指出，谷歌研究人員向AMD通報了這一潛在漏洞。一旦該漏洞被成功利用，將可能導致基于SEV（安全加密虛擬化）的機密訪客保護功能失效。SEV是AMD服務器級CPU的一項關鍵功能，旨在通過虛擬化技術提升系統安全性。在虛擬化環境中，用戶設備的功能相對簡化，數據處理和存儲主要依賴于中央服務器，這種設置旨在降低成本并增強安全性。

該微碼漏洞若被利用，不僅可能導致SEV保護功能失效，使得虛擬化用戶的保密數據面臨泄露風險，還可能引發更為復雜的攻擊行為，如數據盜竊等。受影響的AMD EPYC CPU系列包括EPYC 7001（那不勒斯）、EPYC 7002（羅馬）、EPYC 7003（米蘭和米蘭-X）以及EPYC 9004（熱那亞、熱那亞-X以及貝加莫/錫耶納）。

幸運的是，AMD已經針對這些受影響的CPU發布了微碼更新。通過適當的更新工具，如BIOS更新等，用戶可以解決這一問題。但AMD也提醒，對于部分平臺，可能還需要進行SEV固件更新，以確保通過SEV-SNP認證，從而正確支持該修復程序。這一措施旨在全面保障用戶數據的安全，防止潛在的安全威脅。