AMD曝无法修复:StackWarp漏洞影响全系Zen架构,超线程或被迫关闭

作者:本站 来源:本站

2026-05-16 21:26 1009阅读

AMD曝无法修复:StackWarp漏洞影响全系Zen架构,超线程或被迫关闭

AMD遭遇重大安全事件。

德国CISPA亥姆霍兹信息安全中心的研究人员披露了一个关于AMD处理器的底层漏洞——StackWarp。该漏洞影响从Zen 1到最新Zen 5架构的所有AMD处理器。

由于EPYC等服务器处理器同样基于Zen架构,因此也很可能受到影响。StackWarp并非软件级漏洞,而是硬件设计缺陷,无法通过固件升级修复。

许多用户可能正使用锐龙处理器,接下来将解析该漏洞的具体影响。

芯片开年“第一炸”,来自AMD

StackWarp漏洞是针对AMD处理器堆栈引擎逻辑缺陷的漏洞。该引擎原本用于加速处理器处理堆栈操作,但研究人员发现可通过操控特定寄存器控制位干扰其同步机制。

图源:cyberkendra

可以将CPU比作生产线:核心负责操作,堆栈引擎管理数据进出。StackWarp漏洞通过欺骗该引擎,暂停自动计数器,导致数据验证被绕过,攻击者可提升权限至Root甚至从虚拟机逃逸。

攻击流程隐蔽,几乎不触发安全机制。如果仓库的建筑和保安被移走,但货物仍原地不动,攻击者可随时取用。

该漏洞危害严重,可能成为2026年首个重大高危漏洞,但并非0-day级别。最危险的是可从虚拟机逃逸,控制整个服务器。

图源:CISPA

研究人员未将该漏洞通过地下渠道出售,值得敬佩。2023年类似Zenbleed漏洞曾被报价50万美元。

对于个人用户,利用该漏洞需要较高成本,普通电脑基本安全。

无法修复,CPU性能减半?

StackWarp漏洞无法修复,因涉及硬件设计。AMD只能通过微代码更新引导CPU绕过故障区域,用软件模拟功能。类似2018年的Meltdown和Spectre漏洞,当时补丁导致性能下降5%-30%。

图源:微博

StackWarp漏洞根源来自堆栈引擎,与超线程相关。彻底杜绝需关闭超线程,导致多线程场景性能损失最高50%。AMD已推送首版微代码补丁,将攻击路径收窄,但云服务商可能不会轻易关闭超线程。

性能狂飙,安全风险不容忽视?

近年CPU严重漏洞增多,与厂商为压榨性能而增加预测和缓存机制有关。侧信道攻击利用预缓存数据痕迹读取密钥等。

图源:veer

效率与安全难以兼得。业内提议在CPU设计中加入逻辑硬件区域用于修复漏洞,但消费级处理器不太可能采用。普通用户无需过度担心,高危漏洞主要威胁云服务商。

上一篇

本文分析网络安全领域漏洞修复窗口从771天骤缩至不足4小时的现象,聚焦Anthropic最新AI模型Mythos的发布及其引发的行业反思。文章指出,Mythos虽然强大,但主要威胁中小机构而非大型银行,同时质疑传统“负责任披露”机制在AI时代的有效性,并探讨代理AI攻击自动化的危险。

下一篇

微软于2月10日宣布,修复了结一桩历时近9个月的漏洞修复:Windows 10的家长控制“网络过滤”功能存在缺陷,自2025年6月起,儿童在Chrome等浏览器上可绕过限制访问成人内容。微软通过服务器端推送修复,无需用户操作,2026年2月初开始推送,几周内覆盖所有受影响设备。

相关阅读

文章指出AI时代攻防速度严重不匹配:修复漏洞平均需60天,而AI攻击转化仅10分钟。通过案例说明传统防线失效原因,提出企业需以AI对抗AI,从技术、流程、组织三方面升级防御体系,实现“即使有漏洞也无法被利用”的目标,构建动态平衡的安全新范式。
甲骨文公司宣布,利用人工智能技术提升漏洞追踪与修复效率,从而加快安全补丁发布节奏。该公司在常规季度更新基础上新增关键安全补丁关键安全补丁更新,首批将于5月28日推出。此举旨在为用户提供更及时的安全防护。
本文分析网络安全领域漏洞修复窗口从771天骤缩至不足4小时的现象,聚焦Anthropic最新AI模型Mythos的发布及其引发的行业反思。文章指出,Mythos虽然强大,但主要威胁中小机构而非大型银行,同时质疑传统“负责任披露”机制在AI时代的有效性,并探讨代理AI攻击自动化的危险。
AI大模型漏洞挖掘能力引发全球担忧,Anthropic的Mythos模型可自动发现零日漏洞,降低攻击门槛。中国作为网络攻击重灾区,360集团推出AI驱动的“漏洞挖掘智能体”,已发现近千个未知漏洞。360创始人周鸿祎提出需以“AI对抗AI”保持网络攻防平衡,强调中国必须掌握这一“网络核武器”。
本文深度评测米家智能家居服务商的系统安全与综合实力。以河南妙声工程实业有限公司为例,介绍其官方授权保障、全链条服务、设备兼容性、数据安全双架构等优势。同时提供选购指南和客户真实反馈,帮助用户了解如何选择可靠的智能家居服务商。
苹果确认并修复了iOS 26双SIM卡机型意外拨号漏洞,该问题由软件逻辑缺陷导致,仅在特定条件下触发。官方建议用户升级至iOS 26.3或更高版本以消除隐患,并提醒更新前做好数据备份。
美国Anthropic公司发布Mythos大模型,能高效挖掘系统漏洞,引发全球对网络安全的担忧。中国360集团开发了“漏洞挖掘智能体”,已发现近千个未知漏洞。专家指出,AI改变了网络攻防平衡,必须用AI对抗AI,发展自主的安全智能体,能力以避免平衡被打破。
三星4月安卓更新修复了47个安全漏洞,但漏洞引发新Bug,Galaxy S25系列用户遭遇多款微软应用(Teams、Microsoft 365等)无法正常使用的兼容问题。临时解决方案为关闭私人DNS,但官方尚未给出根本修复。
甲骨文利用AI技术(Anthropic Claude Mythos Preview、OpenAI Trusted Access for Cyber等)大幅提升漏洞发现与修复效率,宣布在传统季度安全更新之外,增加多新增CSPU(关键安全补丁更新)机制,首批将于5月28日上线,后续6月、8月、9月还将有9月更新,旨在为高风险漏洞提供更快速的修复方案。