晶片大廠英特爾與AMD於本周同步發布2月例行性安全更新,合計修補超過80項資安漏洞,涵蓋處理器微架構、伺服器韌體、管理引擎與繪圖驅動程式等多個面向。其中,英特爾信賴網域擴充技術(Trust Domain Extensions,TDX)的漏洞,以及AMD多款Ryzen與EPYC處理器相關問題,成為本次更新的焦點。
英特爾修補逾30項漏洞,TDX重大風險恐危及雲端隔離機制
英特爾此次共發布18則安全公告,修補超過30項漏洞,其中3則被列為High(高風險)等級。
其中最受關注的是影響TDX技術的高風險漏洞,CVE編號為CVE-2025-30513,CVSS風險分數達8.4分。TDX是英特爾為了強化雲端運算環境隔離而設計的硬體機制,可在虛擬化架構下建立受保護的執行環境。該漏洞由英特爾與Google合作發現,這項漏洞源自TDX模組在Ring 0(即超級管理程式層級)中存在的競態條件(race condition),使得在具備部分特權的使用者環境下,攻擊者可能在沒有額外使用者互動的情況下進行權限提升。根據官方資料,在具有本地存取與特權使用者的前提下,可能使攻擊者突破雲端虛擬化隔離,進一步獲取更高系統控制權限。Intel 已針對相關TDX韌體發布修補程式。
除TDX外,本次英特爾修補的中度風險以上的漏洞還包括:
影響伺服器韌體更新工具(Server Firmware Update Utility,SysFwUpdt)的CVE-2025-25210漏洞,CVSS風險分數達8.2分,屬於高風險等級,這類權限提升問題,可能讓攻擊者取得更高系統控制權。
影響用於資料壓縮與加密卸載的快速輔助技術(Quick Assist Technology,QAT)的CVE-2025-35998,CVSS風險分數達7.9分,這項高風險弱點可能導致權限提升或阻斷服務。
影響資安與管理融合引擎(Converged Security and Management Engine,CSME)的中度風險漏洞CVE-2025-27708,涉及資訊洩漏風險。
此外,英特爾也針對AI Playground軟體、乙太網路卡800系列控制器、神經處理單元(NPU)驅動程式,以及多款伺服器平臺韌體與儲存工具,發布中、低風險修補。官方指出,若未及時更新,攻擊者可能藉由漏洞觸發阻斷服務,或進一步提升權限。
AMD修補逾50項漏洞,涵蓋Ryzen與EPYC系列處理器
AMD本月發布7則安全公告,合計處理超過50項CVE漏洞。
其中一則公告列出14項影響Athlon與Ryzen系列處理器的漏洞,CVE編號橫跨2021年至2025年。若遭利用,可能造成未經授權存取、權限提升、任意程式碼執行、阻斷服務或資訊洩漏等後果。
在企業級產品方面,AMD亦為EPYC與EPYC Embedded伺服器處理器修補19項漏洞;針對繪圖驅動程式,AMD也修補15項問題。
工具與開發環境方面,AMD修補µProf效能分析工具組的一項高風險權限提升漏洞,編號為CVE-2025-61969,CVSS風險分數為7.0,可能被用來執行任意程式碼;另外,AMD也針對Vivado設計套件,修補兩項高風險安全漏洞。
除了既有CVE漏洞公告外,AMD本月也針對近期學術研究與外部安全分析揭露的側寫攻擊手法,發布兩則未編列CVE編號的安全說明。這些內容並非源自AMD產品被實際濫用,而是研究人員在特定條件下驗證可能的攻擊理論,AMD則就其產品是否受影響提出技術評估。
其中一項為時序型旁路攻擊(Timing-based Side Channels),AMD指出,近期有研究針對特定GPU架構進行時序分析,嘗試透過運算時間差異推測內部資料處理情形。不過,AMD表示,相關研究與攻擊手法主要針對競爭對手產品設計,並不影響其自家GPU架構。
另一項為物理光學旁路攻擊(Physical Optical Side Channel),根據公開研究,在具備實體接觸與專業設備的前提下,攻擊者理論上可能透過晶片背面進行光學觀測,從加密位元流(bitstream)中還原明文組態資料。AMD強調,這類攻擊屬於需拆解晶片並進行背面物理操作的高門檻情境,已超出AMD 7系列FPGA產品原本的威脅模型,因此不視為一般遠端攻擊風險。
由於本次更新涉及處理器底層微架構、韌體與核心驅動程式,影響範圍橫跨資料中心、企業伺服器與個人電腦環境。資安專家建議,企業IT部門與使用者應儘速至英特爾與AMD官方的安全中心網站,檢視受影響產品清單,並依照公告指引完成韌體與驅動程式更新,以降低遭攻擊風險。
熱門新聞
2026-03-06
2026-03-06
2026-03-09
2026-03-09