Spoločnosť AMD, respektíve jej zákazníci majú problém. Len nedávno sa totiž podarilo objaviť vo viacerých novších procesoroch AMD, ktoré sú určené ako pre bežných používateľov, tak i pracovné stanice a servery, pomerne vážnu zraniteľnosť. Tú ako prvý identifikoval Tavis Ormandy, člen bezpečnostného tímu Google Project Zero. Na tému upozornil portál ArsTechnica.
Zraniteľnosť s kódovým označením CVE-2023-20593, známa tiež ako Zenbleed, spôsobuje únik dát rýchlosťou až 30 kilobajtov za sekundu na každé jadro procesora. V praxi to znamená, že ak sa táto chyba zneužije, útočníci môžu získať prístup k šifrovacím kľúčom, používateľským heslám a ďalším citlivým údajom zo systémov, ktoré používajú procesory založené na architektúre AMD Zen 2. Chyba umožňuje útočníkom vytiahnuť tieto údaje z registrov procesora.
Ako k tejto chybe dochádza?
Moderne procesory sa snažia zrýchliť svoje operácie tým, že „hádžu“ predpoklady o tom, čo bude požadované v nasledujúcich krokoch – ide o tzv. „špekulatívne vykonávanie“ (speculative execution). Nie vždy však procesor trafí do čierneho. Zen 2 procesory sa pritom nedokážu správne „pozbierať“ z určitých druhov nesprávnych predpokladov a práve tento nedostatok využíva Zenbleed.
AMD má pre používateľov dve správy. Tá zlá hovorí o tom, že táto zraniteľnosť nevyžaduje fyzický prístup k hardvéru používateľa, pretože môže byť spustená na základe načítania JavaScriptu pri návšteve nezabezpečenej webovej stránky.
Neautorizovaný prihlásený používateľ môže využívať Zenbleed bez akýchkoľvek špeciálnych privilégií a kontrolovať údaje počas ich spracovania aplikáciami a operačným systémom, pričom tieto údaje môžu obsahovať citlivé informácie.
Dobrá správa je, že zatiaľ neexistujú známe prípady zneužitia tejto chyby na skutočných systémoch, respektíve AMD tvrdí, že o žiadnych prípadoch zneužitia tejto chyby mimo výskumného prostredia nevie.
Uvedená chyba sa týka všetkých procesorov AMD Zen 2, vrátane sérií Ryzen 3000, Ryzen Pro 3000, Ryzen Threadripper 3000, Ryzen 4000 Pro, Ryzen 4000, 5000 a 7020 s grafikou Radeon. Zraniteľnosť sa týka tiež procesorov pre dátové centrá s označením Epyc Rome, píše portál TheRegister.
Spoločnosť medzičasom stihla túto chybu označiť za „stredne vážnu“, pričom vydala bezpečnostné odporúčania a na sledovanie zraniteľnosti používa identifikátori AMD-SB-7008 a CVE-2023-20593. Čipový gigant tiež vydal aktualizáciu firmvéru, ktorá minimalizuje tento problém pre servery, na ktorých sa nachádzajú nainštalované čipy EPYC 7002 – vyťažený server je väčšie lákadlo ako osobné počítače. Aktualizácie firmvéru pre ostatné čipy sú naplánované na koniec tohto roka.
Keďže ide o chybu v hardvéri, najlepším spôsobom, ako ju plne opraviť, je aktualizácia firmvéru AMD. Tavis Ormandy však hovorí, že ju je možné opraviť aj softvérovou aktualizáciou, ale to by mohlo mať neblahé dopady na výkon systému.
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Obrovský skok vo výkone a efektivite. Revolučné 1,6 nm čipy sú až prekvapivo blízko
Museli sa zblázniť. Spustili predaj robotického psa s plameňometom, je smiešne lacný
Apple a Microsoft sa trasú. Ďalší gigant práve prekonal nemysliteľnú hranicu
Veľký elektropredajca na Slovensku končí. Toto bude jeho náhrada
Vyrába pri teplote 40-násobne vyššej ako na Slnku. Intel zostrojil najpokročilejšiu mašinu na čipy
- 24 hod
- 48 hod
- 7 dní
-
- Veľký deň pre ľudstvo: NASA zachytila zašifrovanú správu z hlbokého vesmíru
- Veľký elektropredajca na Slovensku končí. Toto bude jeho náhrada
- Apple to dokázal. Na iPhone príde zmena, po ktorej už žiadny Android nebude dávať zmysel
- Odhalenie mimozemského života je na spadnutie. Vedci odkryli nové detaily
- Prelom: Vedci prvýkrát umelo vytvorili čiernu dieru. Padli im sánky, keď začala žiariť
-
- Apple to dokázal. Na iPhone príde zmena, po ktorej už žiadny Android nebude dávať zmysel
- Veľký elektropredajca na Slovensku končí. Toto bude jeho náhrada
- Veľký deň pre ľudstvo: NASA zachytila zašifrovanú správu z hlbokého vesmíru
- Zem má druhý mesiac, vieme odkiaľ pochádza. Odhalil ho gigantický kráter
- Čierny deň pre YouTube. Vymysleli úplne nový druh reklám, z ktorých si vytrháš vlasy
-
- Veľký elektropredajca na Slovensku končí. Toto bude jeho náhrada
- Apple to dokázal. Na iPhone príde zmena, po ktorej už žiadny Android nebude dávať zmysel
- Veľký deň pre ľudstvo: NASA zachytila zašifrovanú správu z hlbokého vesmíru
- Zem má druhý mesiac, vieme odkiaľ pochádza. Odhalil ho gigantický kráter
- Slováci zbytočne platia. Obľúbenú streamovaciu službu môžeš mať zadarmo, tu je návod
Najnovší Assassin’s Creed prichádza na smartfóny a tablety. Nezahrajú si ho ale všetci
Rusko rušením GPS porušuje medzinárodné zákony, tvrdí Estónsko
Mercedes-Benz zaznamenal silný pokles zisku v prvom štvrťroku
Slovákov čakajú masívne výpadky. Niekoľko týždňov nepôjde TV ani rádio
Bratislava sa púšťa do boja s klímou. Predstavila plán, ktorý ochráni jej obyvateľov
Copyright© 2024 by Startitup, s. r. o. Všetky práva vyhradené