Spoločnosť AMD, respektíve jej zákazníci majú problém. Len nedávno sa totiž podarilo objaviť vo viacerých novších procesoroch AMD, ktoré sú určené ako pre bežných používateľov, tak i pracovné stanice a servery, pomerne vážnu zraniteľnosť. Tú ako prvý identifikoval Tavis Ormandy, člen bezpečnostného tímu Google Project Zero. Na tému upozornil portál ArsTechnica.
Zraniteľnosť s kódovým označením CVE-2023-20593, známa tiež ako Zenbleed, spôsobuje únik dát rýchlosťou až 30 kilobajtov za sekundu na každé jadro procesora. V praxi to znamená, že ak sa táto chyba zneužije, útočníci môžu získať prístup k šifrovacím kľúčom, používateľským heslám a ďalším citlivým údajom zo systémov, ktoré používajú procesory založené na architektúre AMD Zen 2. Chyba umožňuje útočníkom vytiahnuť tieto údaje z registrov procesora.
Ako k tejto chybe dochádza?
Moderne procesory sa snažia zrýchliť svoje operácie tým, že „hádžu“ predpoklady o tom, čo bude požadované v nasledujúcich krokoch – ide o tzv. „špekulatívne vykonávanie“ (speculative execution). Nie vždy však procesor trafí do čierneho. Zen 2 procesory sa pritom nedokážu správne „pozbierať“ z určitých druhov nesprávnych predpokladov a práve tento nedostatok využíva Zenbleed.
AMD má pre používateľov dve správy. Tá zlá hovorí o tom, že táto zraniteľnosť nevyžaduje fyzický prístup k hardvéru používateľa, pretože môže byť spustená na základe načítania JavaScriptu pri návšteve nezabezpečenej webovej stránky.
Neautorizovaný prihlásený používateľ môže využívať Zenbleed bez akýchkoľvek špeciálnych privilégií a kontrolovať údaje počas ich spracovania aplikáciami a operačným systémom, pričom tieto údaje môžu obsahovať citlivé informácie.
Dobrá správa je, že zatiaľ neexistujú známe prípady zneužitia tejto chyby na skutočných systémoch, respektíve AMD tvrdí, že o žiadnych prípadoch zneužitia tejto chyby mimo výskumného prostredia nevie.
Uvedená chyba sa týka všetkých procesorov AMD Zen 2, vrátane sérií Ryzen 3000, Ryzen Pro 3000, Ryzen Threadripper 3000, Ryzen 4000 Pro, Ryzen 4000, 5000 a 7020 s grafikou Radeon. Zraniteľnosť sa týka tiež procesorov pre dátové centrá s označením Epyc Rome, píše portál TheRegister.
Spoločnosť medzičasom stihla túto chybu označiť za „stredne vážnu“, pričom vydala bezpečnostné odporúčania a na sledovanie zraniteľnosti používa identifikátori AMD-SB-7008 a CVE-2023-20593. Čipový gigant tiež vydal aktualizáciu firmvéru, ktorá minimalizuje tento problém pre servery, na ktorých sa nachádzajú nainštalované čipy EPYC 7002 – vyťažený server je väčšie lákadlo ako osobné počítače. Aktualizácie firmvéru pre ostatné čipy sú naplánované na koniec tohto roka.
Keďže ide o chybu v hardvéri, najlepším spôsobom, ako ju plne opraviť, je aktualizácia firmvéru AMD. Tavis Ormandy však hovorí, že ju je možné opraviť aj softvérovou aktualizáciou, ale to by mohlo mať neblahé dopady na výkon systému.
Čítajte viac z kategórie: Novinky
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Vedci ostali bez slov. Kvantový čip „z paralelných svetov“ objavil novú fázu hmoty a posúva hranice fyziky
Európa má vážny problém. Armády NATO môžu skončiť bez munície a zbraní, kritická surovina dochádza
Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
Predaje elektromobilov lámu rekordy. Takéto čísla by si v Európe nikdy nečakal
Slovákom hrozí pokuta 100 eur. Čudná značka s dobrým úmyslom prekvapila vodičov
NAJČÍTANEJŠIE ZO STARTITUP
„Prastaré cvičenie“ dokáže omladiť mozog. Starší ľudia spia lepšie a mozog im funguje ako u mladých, tvrdia vedci
Rusi odhodia rukavice a Ukrajine hrozí tvrdá odveta, varuje generál Šándor. Situácia podľa neho eskaluje
Všetko, čo si si myslel o kŕčoch, nemusí platiť: Vedci odhalili, že hlavnou príčinou nie je dehydratácia
Jazyková polícia Kim Čong-una: Za slovo „hamburger“ či „zmrzlina“ hrozí strata práce, nahradil ich bizarnými názvami
Ujdi na pár dní z upršaného Slovenska. Za 44 eur si zaletíš do 3 talianskych miest, minieš menej ako za večeru
- 24 hod
- 48 hod
- 7 dní
-
- Na objavenie čakal 140 miliónov rokov. 15 km pod Európou našli vedci stratený svet
- Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
- Prekvapivá krajina má obrovský záujem o slovenské zbrane. Štát rokuje o kúpe pokročilých systémov
- Slováci začali objednávať lacné elektromobily z Číny. Zistili sme, ako na to a aké sú celkové náklady (ROZHOVOR)
- Vedci ostali bez slov. Kvantový čip „z paralelných svetov“ objavil novú fázu hmoty a posúva hranice fyziky
-
- Prekvapivá krajina má obrovský záujem o slovenské zbrane. Štát rokuje o kúpe pokročilých systémov
- Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
- Na objavenie čakal 140 miliónov rokov. 15 km pod Európou našli vedci stratený svet
- Slováci začali objednávať lacné elektromobily z Číny. Zistili sme, ako na to a aké sú celkové náklady (ROZHOVOR)
- Padnutý strom v Amazónii nechal vedcov v nemom úžase. Odhalil tajomstvo ukryté stáročia
-
- Padnutý strom v Amazónii nechal vedcov v nemom úžase. Odhalil tajomstvo ukryté stáročia
- Prekvapivá krajina má obrovský záujem o slovenské zbrane. Štát rokuje o kúpe pokročilých systémov
- Tisíce ton zlata, medi a striebra. Na hranici dvoch štátov našli najväčší poklad za posledných 30 rokov
- Vedci našli artefakt starý 80 000 rokov. Odhalil, že o minulosti ľudstva sme sa totálne mýlili
- Japonci zaskočili konkurenciu. Nissan predstavil motor, aký svet ešte nevidel
Izolujú sa od sveta. Táto krajina svoj jadrový status zakotvila v zákone, Západ je v obavách
Klimatický šok: Fosílne palivá ich devastujú, verný spojenec Západu stojí pred nezvratnou skazou
Európskej únii hrozí kríza: Zákaz spaľovacích motorov zrušíme, sľúbil Európanom predseda ľudovej strany
Umelá inteligencia dostane prísnejšie pravidlá. Brusel chce Kódex praxe do roku 2026
Rusko zradil verný európsky spojenec. Poza jeho chrbát dodáva muníciu Ukrajine
NAJČÍTANEJŠIE ZO STARTITUP