2025-02-13 - 随机数、XKCD 漫画与 ZEN 系列最新 CPU 漏洞 CVE-2024-56161

敏锐和前瞻能力很重要，尤其对于网络安全。

笔者之前已曾强调过漏洞补丁管理需要延伸到 CPU 微码补丁：

刚刚发布不久的漏洞公告: CVE-2024-56161[1]，又再一次说明了漏洞补丁管理务必需要延伸纳入 CPU 微码补丁。

笔者：国际注册信息系统审计师、软考系统分析师、软件工程硕士

该漏洞按 CVSS 3.1 评分7.2，关系到 AMD ZEN 系列 CPU 发布的微码更新[2]。

漏洞由 GOOGLE 安全研究人员发现[3]，原理在于 CPU 使用了不安全的哈希函数去验证微码补丁的签名，导致允许具备本地管理员权限的攻击者（位于 VM 之外，RING 0 层）加载有害的微码补丁。

研究员通过测试证实，虽然该漏洞首次发现是在 ZEN 4 CPU 上，但实际从 ZEN 1 到 ZEN 4 CPU 都受影响，即包括有：

需要注意一点是海光 CPU 源自 AMD ZEN 1。但笔者条件所限，未知该 BUG 是否也存在，只能提醒一下相关读者注意了。

最新发表

2025-02-02 奇幻爽文之风终于吹到了网安随着 DeepSeek 被网络攻击成为热门话题，一夜之间，奇幻爽文之风吹到了网安。

2025-02-01 CVE-2024-3661，又可以考验发行版补丁及时性了又有新高危漏洞可以测试操作系统发行版的补丁及时性了。这就是 NetworkManager 高危CVE安全漏洞，CVE-2024-3661，CVSSv3评分7.6。

2025-01-03 开源代码漏洞扫描器 OSV-Scanner 新增修复和离线功能最新版本1.9.2的实验性功能：指导性纠正是非常有发展潜力的。

2024-12-31 守好两高一弱很难？网络安全，唯“认真”不破。

2024-12-06 实测 Process Monitor 的系统启动日志功能确实强实测 Process Monitor 启动日志和对比 Windows 事件日志、MSCONFIG 启动日志。

2024-11-23 信息系统运维外包的可靠性是数据安全最大的坑信息系统运维和网络安全运维不整合到一起就难以避免出问题。

2024-11-13 挖深网络安全的兔子洞：CPU 微码补丁管理搞网络安全就如爱丽丝梦游奇境，兔子洞深不可测。

2024-11-10 安全加固基准搅合国产操作系统上下游关系既然自己解决不了问题，就把问题扔回去给厂家。

2024-11-04 安全加固必须要有可人读的基准文本而不是傻瓜式的黑箱工具一键式黑箱工具不仅养懒人，实质还可能构成安全风险。