AMD AGESA 1.2.0.3e傳資安漏洞 主機板大廠祭出新版BIOS更新

AMD處理器近期被發現存在一項安全漏洞，可能讓駭客透過「信任平台模組」（TPM）讀取敏感資料。記者孫敬／編譯

超微（AMD）處理器近期被發現存在一項安全漏洞，可能讓駭客透過「信任平台模組」（TPM）讀取敏感資料。目前，各大主機板合作夥伴已陸續推出基於AMD AGESA 1.2.0.3e新版BIOS更新，以修補這項安全漏洞，但部分廠商的BIOS更新為「單向升級」，一旦安裝後便無法回溯至舊版本。



延伸閱讀：攜手OpenAI！AMD推新AI伺服器Helios 將共同優化新MI450晶片

[caption id="attachment_137285" align="aligncenter" width="1200"]

AMD安全漏洞可能讓駭客存取機敏資料。（圖／科技島圖庫）[/caption]

駭客可透過「越界讀取」竊取資料，廣泛影響AMD Ryzen系列處理器

據了解，這項安全漏洞的編號為CVE-2025-2884，在CVSS（通用漏洞評分系統）被評為中等風險（6.6分），而駭客透過觸發TPM2.0常式中的「越界讀取」（Out-of-bounds read）來利用此漏洞，進而取得敏感資料或干擾TPM的正常功能。此漏洞源於TPM2.0模組程式庫中的錯誤，該程式庫包含了TPM 2.0晶片用於各種功能的標準化程式碼。

本次發布的AGESA 1.2.0.3e主要針對基於AM5插槽的處理器，但該安全漏洞實際影響的AMD CPU範圍更為廣泛，因為它可利用「使用使用者帳戶控制」，意味著攻擊者無需獲得核心的存取權限，這與先前的漏洞（例如可執行未經授權，但需要核心層級存取微碼權限的漏洞）存在顯著差異。

從這次安全漏洞受影響的Ryzen系列產品，在桌上型電腦方面，從Athlon 3000「Dali」/Ryzen 3000「Matisse」到最新的Ryzen 9000「Granite Ridge」系列皆受影響；行動裝置方面，則從Ryzen 3000 Mobile「Picasso」到Ryzen AI 300「Strix Point」系列。工作站CPU方面，從Threadripper 3000「Castle Peak」到Threadripper 7000「Storm Peak」也都存在此漏洞。不過，對於其中大部分處理器，相關修補程式已在過去幾個月內陸續部署。AM5平台上的CPU是近期才收到最新更新的版本。

包括華碩（Asus）和微星（MSI）在內的多家主機板合作夥伴，已開始推出基於新AGESA 1.2.0.3e的BIOS更新。除了修復上述TPM漏洞外，還新增支援Ryzen CPU，很可能暗示了Ryzen 9000F系列處理器。

資料來源：Tom's Hardware

這篇文章 AMD AGESA 1.2.0.3e傳資安漏洞 主機板大廠祭出新版BIOS更新 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。