Исследователь из Google Information Security обнаружил аппаратную уязвимость, которая может повлиять на линейку процессоров AMD Zen 2. Эту уязвимость можно использовать для кражи конфиденциальных данных, таких как пароли и ключи шифрования. Линейка затронутых процессоров AMD также включает популярные процессоры, такие как бюджетный Ryzen 5 3600.
В мае исследователь безопасности Google Тэвис Орманди обнаружил ошибку «Zenbleed». Орманди сообщил об ошибке в своем блоге, объяснив, как она может повлиять на пользователей.
Эта новая уязвимость может затронуть весь стек продуктов компании Zen 2. Он включает в себя такие процессоры, как серии AMD Ryzen 3000/4000/5000/7020, а также серии Ryzen Pro 3000/4000. Процессоры AMD EPYC «Rome» для центров обработки данных также пострадали от недостатка безопасности. Компания уже опубликовала ожидаемый график выпуска исправления эксплойта. Ожидается, что большинство обновлений прошивки появятся к концу 2023 года.
Согласно отчету компании Tom's hardware, эксплойт Zenbleed не требует физического доступа к компьютеру пользователя для атаки на его систему. Хакеры могут использовать ошибку, удаленно запустив ее через Javascript на веб-странице. Уязвимость делает возможным передачу данных со скоростью 30 КБ на ядро в секунду при успешном выполнении. Такой скорости достаточно, чтобы украсть конфиденциальные данные из любого программного обеспечения, работающего в системе. Сюда входят виртуальные машины, песочницы, контейнеры и процессы, утверждает Орманди. В другом отчете также утверждается, что гибкость этого эксплойта вызывает озабоченность у облачных сервисов. Ошибка может быть использована для слежки за пользователями, которые являются частью облака. Кроме того, Zenbleed также может избежать обнаружения, поскольку для его использования не требуются специальные системные вызовы или привилегии.
AMD уже выпустила патч микрокода для процессоров EPYC 7002 второго поколения. Ожидается, что следующие обновления для оставшихся линеек процессоров поступят к октябрю. Пользователи, которые не хотят ждать, пока компания выпустит обновления, также могут применить программный обходной путь. Однако Орманди предупредил, что этот обходной путь также может повлиять на производительность системы. Более того, даже AMD не сообщила, повлияют ли эти обновления на производительность системы. «Нам известно об уязвимости в безопасности оборудования AMD, описанной в CVE-2023-20593, которая была обнаружена Тэвисом Орманди, исследователем безопасности в Google, и мы тесно сотрудничали с AMD и отраслевыми партнерами. Мы работали над устранением уязвимости на всех платформах Google», — сообщил изданию представитель Google.