В процессорах AMD Zen 2 обнаружена новая уязвимость, которая позволяет похитить из процессора такие данные, как пароли и ключи шифрования. Обнаруженная на этой неделе исследователем безопасности Google Тэвисом Орманди (Tavis Ormandy), эта ошибка влияет как на потребительские, так и на серверные чипы, в том числе на части серии Ryzen 3000.
Как подробно описал Орманди в своей статье, уязвимость Zenbleed впервые стала доступной для AMD в середине мая. Она может быть использована для выполнения кода через Javascript на веб-сайте - физический доступ к пораженному компьютеру не нужен. После успешного использования Zenbleed позволяет злоумышленникам видеть любую работу процессора, в том числе в песочницах или виртуальных машинах. (Вы можете прочитать полное техническое описание в посте Ormandy или более сжатую версию в этом отчете Tom's Hardware). Проблема касается всех процессоров Zen 2 из следующих процессорных семейств:
- Процессоры AMD Ryzen серии 3000
- Процессоры AMD Ryzen PRO серии 3000 AMD Ryzen PRO
- Процессоры AMD Ryzen Threadripper серии 3000
- Процессоры AMD Ryzen серии 4000 с графикой Radeon
- Процессоры AMD Ryzen PRO 4000
- Процессоры серии AMD Ryzen 5000 с графикой Radeon
- Процессоры серии AMD Ryzen 7020 с графикой Radeon
- Процессоры AMD EPYC Rome
Сейчас AMD выпустила лишь обновление микрокода для серверных процессоров EPYC 2-го поколения, а также рекомендацию по безопасности, объясняющую уязвимость (которая получила код CVE-2023-20593) и график выпуска исправлений. Для потребителей патч будет распространяться через производителей оригинального оборудования (например, Dell или HP для готовых ПК и ноутбуков, а также производителей материнских плат для ПК для самостоятельной сборки), а сроки доставки установлены на конец этого года. Детали Threadripper 3000 первыми получат новую прошивку AGESA в октябре, а мобильные процессоры Ryzen 4000 - в ноябре. Для настольных процессоров Ryzen 3000 и 4000, а также мобильных процессоров Ryzen 5000 и 7020 целевым сроком является декабрь 2023 года.
Однако, если вы не хотите ждать AMD, Ormandy объясняет, как внедрить программное исправление в качестве обходного пути - хотя его влияние на производительность неизвестно. Влияние официальных исправлений AMD на производительность также пока неизвестно, хотя в заявлении для Tom's Hardware AMD описала его как зависящее от рабочей нагрузки и конфигурации ПК. В любом случае, если у вас есть процессор Zen 2, вам стоит поставить напоминание в своем календаре, чтобы проверить наличие этого исправления. Его оперативное применение будет важно для безопасности в Интернете.
Рекомендуем прочитать: ТОП-10 инноваций, которые могут переосмыслить ИТ
