全国免费咨询热线:
18926406479
许多AMD CPU中的加密破解、密码泄露漏洞在大多数情况下要几个月才能修复
谷歌Project Zero安全小组成员Tavis Ormandy撰文称,最近披露的AMD许多消费类、工作站与服务器处理器中发现的漏洞会导致芯片以每核每秒30kb的速率泄露数据。如果执行得当,所谓的Zenbleed漏洞(CVE-2023-20593)可以让攻击者从任何使用基于 AMD Zen 2 架构 CPU 的系统中获取加密密钥、根密码和用户密码以及其他敏感数据。
该漏洞允许攻击者从CPU的寄存器中滑动数据。现代处理器试图通过猜测下一步将被要求执行的操作来加速操作,这被称为“推测执行”。但有时CPU会猜错;Zen 2处理器无法从某些类型的错误预测中正确恢复。
坏消息是,该漏洞不需要物理硬件访问,只需要通过在恶意网站上加载Java就能触发(根据网络公司Cloudflare的说法)。好消息是,就目前而言,似乎还没有一点这种漏洞被利用的情况,尽管这样的一种情况可能很快就会改变,因为漏洞已经被披露,而且这个漏洞需要精确的时间来利用。
AMD公司告诉Toms Hardware,在研究环境之外,AMDAMD 未曾发现任何利用所述漏洞的已知情况。Cloudflare 也表示,在其服务器上“没有证据说明该漏洞被利用”。
由于该漏洞存在于硬件中,因此AMD的固件更新是完全修复它的最 佳方式;Ormandy表示,该漏洞也能够最终靠软件更新来修复,但可能会产生一些性能成本。该漏洞影响了所有基于AMD Zen 2架构的所有处理器,包括多款Ryzen台式机和笔记本电脑处理器,用于服务器的EPYC 7002系列芯片,以及用于工作站的Threadripper 3000和3000 Pro WX系列CPU。
AMD已经发布了固件更新,缓解了运行EPYC 7002芯片服务器的系列问题,可以说称之为是最重要的补丁,因为多台虚拟机的服务器比单个消费PC更容易成为黑客的目标。
AMD表示,“任何性能影响将因工作负载和系统配置而异”,但没提供其他细节。
大约四年前,Zen 2架构首次以AMD Ryzen 3000系列的形式出现在消费的人系统中;Ryzen 5 3600在PC制造商中备受青睐。但AMD在最近几代CPU中混合和匹配处理器架构的习惯意味着Ryzen 4000、5000和7000系列中也有一些Zen 2芯片,这不仅会影响一些新系统,也会影响一些旧系统。
如果您使用的是Ryzen桌面处理器,那么所有Ryzen 3000系列和Ryzen 4000G系列芯片(但不包括Ryzen 3000G,它使用较旧的Zen版本)都容易受到Zenbleed漏洞的影响。AMD计划在12月前发布固件修复程序,主板或PC制造商将负责发布更新。
上一篇:【48812】IC卡是触摸式还对错触摸式的好?
