Spoločnosť AMD, respektíve jej zákazníci majú problém. Len nedávno sa totiž podarilo objaviť vo viacerých novších procesoroch AMD, ktoré sú určené ako pre bežných používateľov, tak i pracovné stanice a servery, pomerne vážnu zraniteľnosť. Tú ako prvý identifikoval Tavis Ormandy, člen bezpečnostného tímu Google Project Zero. Na tému upozornil portál ArsTechnica.
Zraniteľnosť s kódovým označením CVE-2023-20593, známa tiež ako Zenbleed, spôsobuje únik dát rýchlosťou až 30 kilobajtov za sekundu na každé jadro procesora. V praxi to znamená, že ak sa táto chyba zneužije, útočníci môžu získať prístup k šifrovacím kľúčom, používateľským heslám a ďalším citlivým údajom zo systémov, ktoré používajú procesory založené na architektúre AMD Zen 2. Chyba umožňuje útočníkom vytiahnuť tieto údaje z registrov procesora.
Ako k tejto chybe dochádza?
Moderne procesory sa snažia zrýchliť svoje operácie tým, že „hádžu“ predpoklady o tom, čo bude požadované v nasledujúcich krokoch – ide o tzv. „špekulatívne vykonávanie“ (speculative execution). Nie vždy však procesor trafí do čierneho. Zen 2 procesory sa pritom nedokážu správne „pozbierať“ z určitých druhov nesprávnych predpokladov a práve tento nedostatok využíva Zenbleed.
AMD má pre používateľov dve správy. Tá zlá hovorí o tom, že táto zraniteľnosť nevyžaduje fyzický prístup k hardvéru používateľa, pretože môže byť spustená na základe načítania JavaScriptu pri návšteve nezabezpečenej webovej stránky.
Neautorizovaný prihlásený používateľ môže využívať Zenbleed bez akýchkoľvek špeciálnych privilégií a kontrolovať údaje počas ich spracovania aplikáciami a operačným systémom, pričom tieto údaje môžu obsahovať citlivé informácie.
Dobrá správa je, že zatiaľ neexistujú známe prípady zneužitia tejto chyby na skutočných systémoch, respektíve AMD tvrdí, že o žiadnych prípadoch zneužitia tejto chyby mimo výskumného prostredia nevie.
Uvedená chyba sa týka všetkých procesorov AMD Zen 2, vrátane sérií Ryzen 3000, Ryzen Pro 3000, Ryzen Threadripper 3000, Ryzen 4000 Pro, Ryzen 4000, 5000 a 7020 s grafikou Radeon. Zraniteľnosť sa týka tiež procesorov pre dátové centrá s označením Epyc Rome, píše portál TheRegister.
Spoločnosť medzičasom stihla túto chybu označiť za „stredne vážnu“, pričom vydala bezpečnostné odporúčania a na sledovanie zraniteľnosti používa identifikátori AMD-SB-7008 a CVE-2023-20593. Čipový gigant tiež vydal aktualizáciu firmvéru, ktorá minimalizuje tento problém pre servery, na ktorých sa nachádzajú nainštalované čipy EPYC 7002 – vyťažený server je väčšie lákadlo ako osobné počítače. Aktualizácie firmvéru pre ostatné čipy sú naplánované na koniec tohto roka.
Keďže ide o chybu v hardvéri, najlepším spôsobom, ako ju plne opraviť, je aktualizácia firmvéru AMD. Tavis Ormandy však hovorí, že ju je možné opraviť aj softvérovou aktualizáciou, ale to by mohlo mať neblahé dopady na výkon systému.
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
V sekunde zničí úplne všetko. Prvý test najhrozivejšej zbrane súčasnosti je obrovský úspech
TOP 25 najpredávanejších áut v Európe: Volkswagen kraľuje trhu, najpopulárnejší model prekvapil
Vyvinie rýchlosť 6 000 km/h. USA odhalilo miliardovú superzbraň, nepriateľov rozpráši v sekunde
F-16 sú proti ním hračky. Európa dostane stíhačky s lasermi, ktoré nič nezastaví
Nepotrebuje žiadne palivo. Postavili dron, ktorý môže lietať donekonečna
- 24 hod
- 48 hod
- 7 dní
-
- Bezkontaktné platby končia pre tisíce Slovákov. Ak používaš túto službu, môžeš sa rozlúčiť (+ako to obísť)
- V sekunde zničí úplne všetko. Prvý test najhrozivejšej zbrane súčasnosti je obrovský úspech
- Závidí ju aj SpaceX. Prelomová raketa Európy oslavuje obrovský úspech, zaplatila ale najvyššiu cenu
- Najnovšia Tesla prevráti svet naruby. Musk vymyslel niečo, čo zmení dopravu na nepoznanie
- Vedci ostali zhrození, čakali ho oveľa neskôr. Slnko nečakane spustilo ničivý proces
-
- Bezkontaktné platby končia pre tisíce Slovákov. Ak používaš túto službu, môžeš sa rozlúčiť (+ako to obísť)
- V sekunde zničí úplne všetko. Prvý test najhrozivejšej zbrane súčasnosti je obrovský úspech
- Závidí ju aj SpaceX. Prelomová raketa Európy oslavuje obrovský úspech, zaplatila ale najvyššiu cenu
- Najnovšia Tesla prevráti svet naruby. Musk vymyslel niečo, čo zmení dopravu na nepoznanie
- Vedci ostali zhrození, čakali ho oveľa neskôr. Slnko nečakane spustilo ničivý proces
-
- EÚ pobúrila Slovákov: Za tankovanie a kúrenie si priplatíme stovky eur. Toto je dôvod
- Bezkontaktné platby končia pre tisíce Slovákov. Ak používaš túto službu, môžeš sa rozlúčiť (+ako to obísť)
- Vedci ostali zhrození, čakali ho oveľa neskôr. Slnko nečakane spustilo ničivý proces
- F-16 sú proti ním hračky. Európa dostane stíhačky s lasermi, ktoré nič nezastaví
- Vedci ostali v nemom úžase. Merkúr v sebe ukrýva poklad za bilióny eur
Veľký operátor prekvapil Slovákov: Rozdáva najlepšie filmy a seriály úplne zadarmo (+návod)
Mercedes-Benz zaznamenal nižší zisk kvôli nízkemu dopytu v Číne
Ľudstvo postihla ďalšia epidémia. Tajomník OSN varoval svet pred „šialeným“ aktom
Ďalší bizarný krok Ruska. V krajine úmyselne spomalia YouTube, takýto je dôvod
Fantastická správa pre vodičov. Ceny pohonných hmôt dosiahli minimum, jeden fakt nepoteší
Copyright© 2024 by Startitup, s. r. o. Všetky práva vyhradené