У процесорах AMD Zen 2 виявлено нову вразливість, яка дозволяє викрасти з процесора такі дані, як паролі та ключі шифрування. Виявлена цього тижня дослідником безпеки Google Тевісом Орманді (Tavis Ormandy), ця помилка впливає як на споживчі, так і на серверні чіпи, в тому числі на частини серії Ryzen 3000.
Рекомендуємо прочитати: 64% організацій не готові використовувати весь потенціал генеративного ШІ
Як детально описав Орманді у своєму дописі, вразливість Zenbleed вперше стала доступною для AMD в середині травня. Вона може бути використана для виконання коду через Javascript на веб-сайті – фізичний доступ до ураженого комп'ютера не потрібен. Після успішного використання Zenbleed дозволяє зловмисникам бачити будь-яку роботу процесора, в тому числі в пісочницях або віртуальних машинах. (Ви можете прочитати повний технічний опис в пості Ormandy або більш стислу версію в цьому звіті Tom's Hardware). Проблема стосується всіх процесорів Zen 2 з наступних процесорних сімейств:
- Процесори AMD Ryzen серії 3000
- Процесори AMD Ryzen PRO серії 3000
- Процесори AMD Ryzen Threadripper серії 3000
- Процесори AMD Ryzen серії 4000 з графікою Radeon
- Процесори AMD Ryzen PRO 4000
- Процесори серії AMD Ryzen 5000 з графікою Radeon
- Процесори серії AMD Ryzen 7020 з графікою Radeon
- Процесори AMD EPYC Rome
Наразі AMD випустила лише оновлення мікрокоду для серверних процесорів EPYC 2-го покоління, а також рекомендацію з безпеки, що пояснює вразливість (яка отримала код CVE-2023-20593) та графік випуску виправлень. Для споживачів патч буде розповсюджуватися через виробників оригінального обладнання (наприклад, Dell або HP для готових ПК і ноутбуків, а також виробників материнських плат для ПК для самостійної збірки), а терміни доставки встановлені на кінець цього року. Деталі Threadripper 3000 першими отримають нову прошивку AGESA в жовтні, а мобільні процесори Ryzen 4000 – в листопаді. Для настільних процесорів Ryzen 3000 і 4000, а також мобільних процесорів Ryzen 5000 і 7020 цільовим терміном є грудень 2023 року.
Однак, якщо ви не хочете чекати на AMD, Ormandy пояснює, як впровадити програмне виправлення в якості обхідного шляху – хоча його вплив на продуктивність невідомий. Вплив офіційних виправлень AMD на продуктивність також наразі невідомий, хоча в заяві для Tom's Hardware AMD описала його як такий, що залежить від робочого навантаження та конфігурації ПК. У будь-якому випадку, якщо у вас є процесор Zen 2, вам варто поставити нагадування у своєму календарі, щоб перевірити наявність цього виправлення. Його оперативне застосування буде важливим для безпеки в Інтернеті.
