吳明宜AMD 釋出修補程式,以解決一個名為 Zenbleed 的漏洞,影響 AMD Ryzen 及 Epyc Zen2 所有晶片,該漏洞讓駭客或惡意程式得以竊取 Zen2-based 電腦上的密碼、加密金鑰或其他機密資訊。
Zenbleed 正式編號為 CVE-2023-20593,是由 Google 知名研究人員 Tarvis Ormandy 5 月發現及通報,他成功以這漏洞以每核心每秒 30Kb 的速度竊取資訊。這已可用來攻擊共享伺服器如雲端代管應用程式、監控其他租戶。這項漏洞是玩弄現代處理器的推測執行,雖然不像 Spectre 屬於設計漏洞那麼嚴重,但壞就壞在濫用難度不高,大概和 Meltdown 差不多。
已經存在系統上的惡意程式或已登入的歹徒,可能在不需要特殊權限下濫用 Zenbleed,在用戶登入應用或作業系統時監視而趁機竊取到密碼等敏感資訊。例如,執行惡意 JavaScript 的網頁,可以悄悄利用個人電腦的 Zenbleed 漏洞竊取用戶密碼、加密金鑰。
本漏洞影響搭載 AMD Zen 2 處理的所有裝置,如伺服器、桌機、工作端、行動裝置處理器,包括 Ryzen 3000 、 Threadripper 3000 、 4000 、 PRO 4000 、 5000 、 7020 處理器及 EPYC Rome 處理器等 8 項產品。
研究人員分享了相關程式碼及漏洞的概念驗證 (PoC) 攻擊程式,並警告說,雖然 PoC 是針對 Linux,但漏洞作用不受作業系統影響。 AMD 也發佈了安全公告,稱 CVE-2023-20593 為「跨處理器資訊洩露漏洞」,風險值為中等。 AMD 同時也發佈微碼(EPYC 7002 處理器)及新版韌體給適用的處理器(其他產品)。
其中一些微碼更新已經整合到 Linux 核心中。建議用戶應留意 AMD Zenbleed 微碼更新,以及作業系統商是否發佈安全更新,一有更新應儘速安裝。不過,微碼更新是否影響 CPU 效能,AMD 尚未說明,不過可能取決使用者的運算任務。
來源:The Register