Spoločnosť AMD, respektíve jej zákazníci majú problém. Len nedávno sa totiž podarilo objaviť vo viacerých novších procesoroch AMD, ktoré sú určené ako pre bežných používateľov, tak i pracovné stanice a servery, pomerne vážnu zraniteľnosť. Tú ako prvý identifikoval Tavis Ormandy, člen bezpečnostného tímu Google Project Zero. Na tému upozornil portál ArsTechnica.
Zraniteľnosť s kódovým označením CVE-2023-20593, známa tiež ako Zenbleed, spôsobuje únik dát rýchlosťou až 30 kilobajtov za sekundu na každé jadro procesora. V praxi to znamená, že ak sa táto chyba zneužije, útočníci môžu získať prístup k šifrovacím kľúčom, používateľským heslám a ďalším citlivým údajom zo systémov, ktoré používajú procesory založené na architektúre AMD Zen 2. Chyba umožňuje útočníkom vytiahnuť tieto údaje z registrov procesora.
Ako k tejto chybe dochádza?
Moderne procesory sa snažia zrýchliť svoje operácie tým, že „hádžu“ predpoklady o tom, čo bude požadované v nasledujúcich krokoch – ide o tzv. „špekulatívne vykonávanie“ (speculative execution). Nie vždy však procesor trafí do čierneho. Zen 2 procesory sa pritom nedokážu správne „pozbierať“ z určitých druhov nesprávnych predpokladov a práve tento nedostatok využíva Zenbleed.
AMD má pre používateľov dve správy. Tá zlá hovorí o tom, že táto zraniteľnosť nevyžaduje fyzický prístup k hardvéru používateľa, pretože môže byť spustená na základe načítania JavaScriptu pri návšteve nezabezpečenej webovej stránky.
Neautorizovaný prihlásený používateľ môže využívať Zenbleed bez akýchkoľvek špeciálnych privilégií a kontrolovať údaje počas ich spracovania aplikáciami a operačným systémom, pričom tieto údaje môžu obsahovať citlivé informácie.
Dobrá správa je, že zatiaľ neexistujú známe prípady zneužitia tejto chyby na skutočných systémoch, respektíve AMD tvrdí, že o žiadnych prípadoch zneužitia tejto chyby mimo výskumného prostredia nevie.
Uvedená chyba sa týka všetkých procesorov AMD Zen 2, vrátane sérií Ryzen 3000, Ryzen Pro 3000, Ryzen Threadripper 3000, Ryzen 4000 Pro, Ryzen 4000, 5000 a 7020 s grafikou Radeon. Zraniteľnosť sa týka tiež procesorov pre dátové centrá s označením Epyc Rome, píše portál TheRegister.
Spoločnosť medzičasom stihla túto chybu označiť za „stredne vážnu“, pričom vydala bezpečnostné odporúčania a na sledovanie zraniteľnosti používa identifikátori AMD-SB-7008 a CVE-2023-20593. Čipový gigant tiež vydal aktualizáciu firmvéru, ktorá minimalizuje tento problém pre servery, na ktorých sa nachádzajú nainštalované čipy EPYC 7002 – vyťažený server je väčšie lákadlo ako osobné počítače. Aktualizácie firmvéru pre ostatné čipy sú naplánované na koniec tohto roka.
Keďže ide o chybu v hardvéri, najlepším spôsobom, ako ju plne opraviť, je aktualizácia firmvéru AMD. Tavis Ormandy však hovorí, že ju je možné opraviť aj softvérovou aktualizáciou, ale to by mohlo mať neblahé dopady na výkon systému.
Čítajte viac z kategórie: Novinky
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
Volkswagen má batériu, ktorá zníži ceny elektromobilov. Solid-state technológiu otestoval v motocykli Ducati
USA nasadili v ázijskej krajine ničivú zbraň s doletom 1600 km. Reakcia Číny prišla okamžite
Vedci vymenili lítium za sodík a ostali prekvapení. Prenosná elektráreň z Číny prežije aj v -25 °C
Toto by mali Slovákom rozdávať zadarmo. Našli sme najľahší spôsob, ako si predĺžiť život
NAJČÍTANEJŠIE ZO STARTITUP
Milované jedlá Slovákov rozkladajú mozgové bunky. Už po týždni sa objavujú výpadky pamäti
Obyčajná sladkosť sa mení na nástroj dlhovekosti. Dokáže tlmiť zápal a spomaľovať starnutie, ukazujú štúdie
Dôchodky a dávky: Nemocenské vyše 1 700 eur, materské až 2 330 eur mesačne. Vieme, kto si v roku 2026 prilepší najviac
MIMORIADNE: Polícia zadržala známeho podnikateľa. Je podozrivý zo zločinu voči maloletým
Investovanie sa predraží. Odvody správcovských spoločností na Slovensku stúpnu až 3,5-násobne
- 24 hod
- 48 hod
- 7 dní
-
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Vedci ostali šokovaní: ChatGPT vyriešil 2000-ročný matematický problém kurióznym spôsobom
- Môže zasiahnuť ciele na celom svete. Európsky štát vyvíja jadrovú raketu s doletom 10 000 km
- Nikdy nevideli nič podobné. Vedci našli Stratené mesto, je kľúčom pre vznik života
- Kritici už teraz hovoria o filme roka. Nový triler s DiCapriom príde do našich kín už čoskoro
-
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Vedci ostali šokovaní: ChatGPT vyriešil 2000-ročný matematický problém kurióznym spôsobom
- Môže zasiahnuť ciele na celom svete. Európsky štát vyvíja jadrovú raketu s doletom 10 000 km
- Stroj zo studenej vojny prerobili na toto. Svetová veľmoc uchvátila svet, môže mať zákerné úmysly
- Chcú ich vyrábať, no má to háčik. Šéf Kia odhalil, prečo sa automobilkám neoplatia lacné elektromobily
-
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Na Slovensku odštartovala nová TV stanica. Dá sa pozerať úplne zadarmo a je v HD kvalite
- Na objavenie čakal 140 miliónov rokov. 15 km pod Európou našli vedci stratený svet
- Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
- Nič podobné nenašli vyše 150 rokov. Záhadný kameň v Egypte odhalil „posolstvo“ staré 2263 rokov
Poľsko sa výrazne vojensky vyzbrojuje. Do konca roka chce posilniť svoju kľúčovú zónu
Kybernetická éra sa ukázala v Košiciach. SlovakiaTech 2025 láme všetky očakávania
Realita o elektroautách prekvapila celé Slovensko. Len malá časť ľudí má reálnu skúsenosť za volantom
Nečakaná krajina zbrojí na úroveň veľmocí. Od Izraelu kúpila zbrane za vyše 2 miliardy eur
Nenápadný faktor nás oberá o miliardy eur: Európska únia je pod tlakom extrémnych javov, ničia ekonomiku štátov
NAJČÍTANEJŠIE ZO STARTITUP