AMD 晶片被發現有重大安全漏洞，2006 年之後的產品都受到影響

根據 Wired 的報導，安全公司 IOActive 的研究人員 Enrique Nissim 與 Krzysztof Okupski，發現了 AMD 處理器中存在一個長達十數年的漏洞。這個漏洞被命名為「Sinkclose」，它允許惡意軟體以最高權限的系統管理模式（System Management Mode）執行程式碼，而且一旦深入到處理器中，可能根本無法由防毒軟體或其他手段根除。研究人員指出，這個漏洞至少由 2006 年就已經存在，並影響差不多所有 2006 年至今的 AMD 晶片。

唯一堪稱好消息的是，由於要利用 Sinkclose 這個漏洞，駭客要先擁有電腦或伺服器本身的內核權限，因此對於一般電腦用戶來說，取得這樣的權限是既吃力又沒什麼好處，因此預料大部份一般消費者不太會受影響。但對於企業、大型機構、政府單位等來說，Sinkclose 或許潛在風險就要大得多了。

Krzysztof Okupski 表示：「想像一下，一位國家級駭客或任何想要持續留在你系統裡的人。即使你完全抹除磁碟，這個後門仍然會存在。它幾乎無法檢測到，也幾乎無法修補。」對於受感染的電腦來說，唯一的下場恐怕就只有前往垃圾桶的單程票了。

AMD 一方已經承認了這個問題的存在，但同時也強調了利用這個漏洞的難度。它將使用 Sinkclose 漏洞比作銀行的保險箱有開鎖的方法，但在這之前你要先繞過警報、警衛、保險庫門和其他安全措施後，才能來到保險箱前進行操作。然而 IOActive 表示，用於破解這些「保全措施」的漏洞其實很容易找到，在駭客當中不算什麼祕密。

AMD 發佈了所有受影響的處理器的總表，並表示已經為資料中心產品和 Ryzen PC 產品推出「緩解選項」。然而，據 Tom's Hardware 的報導， Ryzen 1000、Ryzen 2000、Ryzen 3000、Threadripper 1000 和 Threadripper 2000 系列處理器不會獲得更新。對此 AMD 表示，「這些舊產品已經超出軟體更新窗口之外」，而所有還在更新窗口內的產品，包括嵌入式產品在內，都已經獲得補丁。