AMD выпустила исправление для системы первоначальной загрузки для материнских плат AGESA (AMD Generic Encapsulated Software Architecture), устраняющее четыре недавно обнаруженные уязвимости (CVE-2023-20576, CVE-2023-20577, CVE-2023-20587 и CVE-2023-20579), позволяющие осуществлять DDoS-атаки или выполнение произвольного кода. Впрочем, для проведения атак на эти уязвимости необходим локальный доступ к компьютеру, а в случае CVE-2023-20579 — даже административный. Для устранения уязвимостей нужно обновление кода BIOS/UEFI материнской платы, и производители материнских плат должны выпустить соответствующие инструменты.
Все четыре уязвимости связаны с последовательным периферийным интерфейсом (SPI), который соединяет процессор с микросхемой на флеш-памяти, где хранятся программные коды и данные системы BIOS/UEFI. Список уязвимых процессоров довольно велик и включает в себя как серверные, так и настольные и мобильные модели процессоров всех четырех поколений архитектуры Zen, в том числе EPYC, Ryzen серий 3000, 4000, 5000 и 7000, Ryzen Threadripper 3000 и многие другие, вплоть до относительно старых процессоров Athlon серии 3000.