- Liittynyt
- 14.10.2016
- Viestejä
- 22 558
Kaotik kirjoitti uutisen/artikkelin:
Prosessoreiden tietoturvahaavoittuvuuksien löytymisen viimeisin kulta-aika alkaa olemaan jo mennyttä, mutta se ei tarkoita etteikö niitä olisi edelleen olemassa ja löytymättä. Nyt uusi aukko on löytynyt AMD:n Zen 2 -prosessoreista.
Zenbleediksi nimetty haavoittuvuus koskee kaikkia AMD:n Zen 2 -ytimiin perustuvia prosessoreita. CVE-2023-20593 -koodilla tunnettu haavoittuvuus on luokiteltu vakavuudeltaan keskiluokkaan, mutta toisin kuin moni muu viime vuosien prosessorihaavoittuvuus, se ei vaadi fyysistä pääsyä kohdekoneelle.
Zenbleedin löytänyt Google Information Securityn tutkija Tavis Ormandy kertoo, että sitä voidaan hyödyntää triggeröimällä ensin XMM Register Merge Optimization2 -ominaisuus, sen jälkeen nimeämällä rekisteri uudelleen ja lopulta vielä tarvitaan väärin ennustettu vzeroupper-käsky. Haavoittuvuus mahdollistaa datan vuotamisen prosessoriytimeltä 30 kilobitin sekuntivauhtia, mikä riittää jo monen arkaluonteisen tiedon vuotamiseen. Teoriassa sen hyödyntämiseen voisi riittää JavaScript eikä esimerkiksi erilaiset eristävät ”hiekkalaatikot” estä sen käyttöä, mutta toistaiseksi sitä ei ole tiettävästi saatu käytettyä hyväksi.
AMD työskentelee parhaillaan paikatakseen haavoittuvuuden ja Rome-koodinimellisille Epyc-prosessoreille on jo nyt tarjolla korjaava BIOS-päivitys. Lokakuussa pitäisi tulla valmiiksi päivitykset Ryzen Threadripper 3000- ja Threadripper Pro 3000WX -prosessoreille, pois lukien Chagall-alusta jolle päivitys tulee joulukuussa, ja marraskuussa Ryzen 4000 -mobiiliprosessoreille (Renoir). Työpöytäpuolen Ryzen 3000 (Matisse) ja Ryzen 4000:lle (Renoir) -prosessoreille päivityksen pitäisi valmistua joulukuussa, samoin kuin Ryzen 5000- (Lucienne) ja Ryzen 7020 (Mendocino) -mobiiliprosessoreille. Päivitystä odotellessa haavoittuvuudelta voi suojautua myös käyttöjärjestelmän kautta ohjelmistopohjaisesti, mutta se saattaa vaikuttaa suorituskykyyn. BIOS-päivitysten aiheuttamista muutoksista suorituskykyyn ei ole vielä tietoa.
Lähde: AMD, Tom's Hardware
Linkki alkuperäiseen juttuun