W procesorach AMD Zen 2 odkryto nową lukę, która pozwala na wykradanie z CPU danych takich jak hasła i klucze szyfrujące. Ujawniony publicznie w tym tygodniu przez badacza bezpieczeństwa Google, Tavisa Ormandy’ego, błąd ten dotyczy zarówno układów konsumenckich, jak i serwerowych, w tym części z serii Ryzen 3000.

Jak wyszczególnił Ormandy w swoim poście, luka Zenbleed została po raz pierwszy udostępniona AMD w połowie maja. Można ją wykorzystać do wykonania kodu za pośrednictwem Javascript na stronie internetowej - nie jest wymagany fizyczny dostęp do komputera, którego dotyczy luka. Po pomyślnym wykorzystaniu Zenbleed pozwala atakującym zobaczyć dowolną operację procesora, w tym te wykonywane w piaskownicach lub maszynach wirtualnych. (Możesz zapoznać się z pełnym opisem technicznym w poście Ormandy'ego lub bardziej podsumowaną wersją w tym raporcie Tom's Hardware). Problem dotyczy wszystkich procesorów Zen 2 z następujących rodzin procesorów:

• Procesory AMD Ryzen z serii 3000

• Procesory AMD Ryzen PRO z serii 3000

• Procesory AMD Ryzen Threadripper z serii 3000

• Procesory AMD Ryzen z serii 4000 z układami graficznymi Radeon

• Procesory AMD Ryzen PRO z serii 4000

• Procesory AMD Ryzen z serii 5000 z układem graficznym Radeon

• Procesory AMD Ryzen z serii 7020 z układem graficznym Radeon

• Procesory AMD EPYC Rome

Na chwilę obecną AMD wydało jedynie aktualizację mikrokodu dla procesorów serwerowych EPYC 2. generacji, wraz z poradnikiem bezpieczeństwa wyjaśniającym lukę (która została zgłoszona jako CVE-2023-20593) i harmonogramem wydawania środków zaradczych. W przypadku konsumentów, poprawka zostanie przekazana za pośrednictwem producentów oryginalnego sprzętu (np. Dell lub HP w przypadku gotowych komputerów PC i laptopów oraz producentów płyt głównych w przypadku komputerów PC do samodzielnego montażu), z datami dostarczenia ustalonymi na koniec tego roku. Części Threadripper 3000 jako pierwsze otrzymają nowe oprogramowanie układowe AGESA w październiku, a następnie procesory mobilne Ryzen 4000 w listopadzie. W przypadku procesorów Ryzen 3000 i 4000 do komputerów stacjonarnych, a także procesorów mobilnych Ryzen 5000 i 7020, celem jest grudzień 2023 roku.

Jeśli jednak nie chcemy czekać na AMD, Ormandy wyjaśnia, jak wprowadzić poprawkę oprogramowania jako obejście - choć jej wpływ na wydajność jest nieznany. Wpływ oficjalnych poprawek AMD na wydajność również nie jest obecnie znany, choć w oświadczeniu dla Tom's Hardware AMD opisało go jako zależny od obciążenia pracą i konfiguracji komputera. W każdym razie, jeśli posiadasz procesor Zen 2, będziesz chciał umieścić przypomnienie w kalendarzu, aby sprawdzić, czy nie ma tego środka łagodzącego. Jego szybkie zastosowanie będzie ważne dla bezpieczeństwa online.

Ten artykuł został zaktualizowany 24.07.2023 r. o godz. 15:30, aby uwzględnić szczegóły dotyczące planów AMD w zakresie łagodzenia skutków Zenbleed i harmonogramu aktualizacji oprogramowania układowego.

Źródło: PC World USA