Kaikki Zen 2 -arkkitehtuurilla varustetut AMD-prosessorit löysivät vakavan haavoittuvuuden

Googlen tietoturvatutkija Tavis Ormandy kertonut uudesta haavoittuvuudesta, jonka hän löysi Zen 2 -arkkitehtuurilla varustetuista AMD-prosessoreista. Se mahdollistaa suojattujen tietojen, mukaan lukien salausavainten ja tilitietojen, varastamisen tietokoneelta. Haavoittuvuus sai nimen Zenbleed.

Zenbleed ei tiettävästi vaadi fyysistä pääsyä tietokoneeseen. Haavoittuvuuden hyödyntäminen on mahdollista jopa etänä käyttämällä Javascriptiä verkkosivulla. Jos suoritus onnistuu, tietoturva-aukko mahdollistaa tiedonsiirron 30 kilotavua sekunnissa per ydin. Tämä riittää arkaluontoisten tietojen saamiseksi mistä tahansa järjestelmässä käynnissä olevasta ohjelmasta.

Tom's Hardware huomauttaa, että tällaisten hyväksikäyttöjen joustavuus on erityisen vaarallista pilvipalveluille, joiden kautta hyökkääjät voivat valvoa muiden ihmisten tietokoneita. Mikä pahinta, Zenbleediä on vaikea havaita: sen hyväksikäyttö ei vaadi erityisiä käyttöoikeuksia ja oikeuksia, joten sen korjaamiseen ei ole luotettavia tapoja.

Tässä on luettelo vaikuttavista prosessorisarjoista:

• AMD EPYC Rooma;
• AMD Ryzen 3000;
• AMD Ryzen 4000 Radeon Graphicsilla;
• AMD Ryzen 5000 Radeon Graphicsilla;
• AMD Ryzen 7020;
• AMD Ryzen Pro 3000WX.

AMD jo tunnustettu ongelmaan ja julkaisi mikrokoodikorjauksen toisen sukupolven EPYC 7002 -palvelinprosessoreille. Muille prosessoreille korjaustiedoston odotetaan julkaistavan loka-joulukuussa. On huomionarvoista, että tällainen korjaustiedosto voi mahdollisesti heikentää tietokoneen suorituskykyä.

On huomattava, että AMD: llä ei ole tietoa tällaisen hyväksikäytön todellisesta käytöstä tutkimuslaboratorioiden ulkopuolella.