主要观点：作者向研发老板要 Steam Deck 作为圣诞礼物，进而对其进行研究，发现并利用了两个影响 AMD 设备的 UEFI 固件漏洞（CVE-2024-21925 和 CVE-2024-0179），包括漏洞细节、利用方法、后利用情况及披露流程等。
关键信息：

• 研究始于 2023 年 12 月，目标为 Steam Deck 的 UEFI 固件，获取固件方法多样，分析工具包括 UEFITool、EfiXplorer 和 EfiPy 等。
• 两个漏洞分别位于 AmdPspP2CmboxV2.efi 和 AmdCpmDisplayFeatureSmm.efi，前者存在数据验证问题致 SMRAM 泄漏等，后者与 CCIX-PCIe 模块相关，可获得特定内存操作 primitive。
• 利用第二个漏洞通过一系列操作实现 SMM 中的代码执行，包括绕过验证、创建假命令等，后利用技术可监控机器运行。
• 披露流程历经与 AMD 的多次沟通，包括报告漏洞、协商披露日期等，最终确定 2025 年 2 月 11 日披露，且 AMD 已向 NDA 客户发布修复程序。
  重要细节：
• 不同漏洞的影响范围、触发条件及相关代码细节，如漏洞 1 中各命令的参数验证情况等。
• 后利用过程中对内存访问的处理方式，如通过篡改页表实现对 OS 内存的操作。
• 披露流程中的时间节点、双方沟通内容及最终确定的披露日期等。