Minden Zen 2 architektúrával rendelkező AMD processzor komoly sebezhetőséget talált

Tavis Ormandy, a Google információbiztonsági kutatója mondta egy új sebezhetőségről, amelyet a Zen 2 architektúrájú AMD processzorokban fedezett fel. Lehetővé teszi a védett információk számítógépről való ellopását, beleértve a titkosítási kulcsokat és a fiókadatokat. A sérülékenység a Zenbleed nevet kapta.

A Zenbleed állítólag nem igényel fizikai hozzáférést a számítógéphez. A sérülékenység kihasználása akár távolról is lehetséges egy weboldalon található Javascript használatával. Sikeres végrehajtás esetén a biztonsági rés magonként másodpercenként 30 KB adatátvitelt tesz lehetővé. Ez elegendő ahhoz, hogy a rendszeren futó bármely programból érzékeny adatokhoz jusson.

A Tom's Hardware megjegyzi, hogy az ilyen kizsákmányolások rugalmassága különösen veszélyes a felhőszolgáltatások számára, amelyeken keresztül a támadók figyelhetik mások számítógépeit. A legrosszabb az egészben, hogy a Zenbleed nehezen észlelhető: kihasználása nem igényel különleges engedélyeket és kiváltságokat, így nincs megbízható módszer a javításra.

Íme az érintett processzorsorozatok listája:

• AMD EPYC Róma;
• AMD Ryzen 3000;
• AMD Ryzen 4000 Radeon grafikus kártyával;
• AMD Ryzen 5000 Radeon grafikus kártyával;
• AMD Ryzen 7020;
• AMD Ryzen Pro 3000WX.

Az AMD már elismert problémát, és kiadott egy mikrokód-javítást az EPYC 7002 szerverprocesszorok második generációjához. A többi processzor esetében a javítás várhatóan október-decemberben jelenik meg. Figyelemre méltó, hogy egy ilyen javítás potenciálisan csökkentheti a számítógép teljesítményét.

Meg kell jegyezni, hogy az AMD-nek nincs információja egy ilyen kizsákmányolás tényleges felhasználásáról a kutatólaboratóriumokon kívül.