AMD處理器也要小心漏洞 Zen+、Zen 2 CPU遭受類似Meltdown手法的攻擊

研究人員發現AMD Zen系列處理器存在漏洞,使其可能遭到Meltdown類型手法的攻擊而外洩資料。

研究人員發現AMD Zen系列處理器存在漏洞,使其可能遭到Meltdown類型手法的攻擊而外洩資料。

德國德勒斯登科技大學研究人員Saidgani Musaev 和Christof Fetzer測試了AMD數款處理器,包括Epyc 7262、Ryzen 7 2700X和Threadripper 2990WX,涵括Zen+及Zen 2晶片,而發現了一項漏洞,可惡意操弄其CPU核心的運作。

研究人員執行了特定的軟體序列,使AMD CPU「可能利用48-bit位址空間下半瞬間執行(transient execute )非典型載入及儲存」,導致資料洩露。AMD安全公告,本漏洞名為CVE-2020-12965。

德國科學家指出,這很類似Meltdown的攻擊手法,雖然2018年的Meltdown靠的是從L1資料快取及微架構資料取樣(Microarchitectural Data Sampling, MDS)汲取資料。研究指出,這手法不會導致跨位址空間的資料洩露,但卻迫使不同微架構元件之間發生不應有的資料流動,導致資料外洩。這也顯示AMD實作了類似Meltdown攻擊的推測記憶體存取,因此可能還有其他尚未揭露的類似漏洞。

2018年由Google Project Zero研究人員揭露的Meltdown也打破了應用程式和作業系統間原以為的資料屏障,允許跑在電腦上的惡意程式,或是非法使用者慢慢洩露受保護的核心記憶體內容或密碼、金鑰等機密資訊。

當初Meltdown和Spectre漏洞剛被發現時,研究人員以為只有Intel x86晶片才會有Meltdown問題。不過後來受害名單加入了IBM Power及ARM Cortex核心,AMD則宣稱其處理器不受Meltdown影響。

AMD針對最新漏洞提供的緩解方法也和Intel x86晶片一樣,建議OS等軟體廠商分析程式碼是否有瞬間執行漏洞,並插入LFENCE指令,但這也會和3年前一樣,造成CPU效能大幅下降。

研究人員也指出,任何會受MDS手法攻擊的Intel CPU也會受到這次研究手法影響,不過如果已安裝LFENCE程式碼就能避免。他們測試了已安裝LFENCE的Intel Core i7-1051U晶片,證實不受影響。

來源:The Register

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416