AMD的Zen 2处理器中发现了一个新的漏洞–该漏洞允许从CPU窃取密码和加密密钥等数据。谷歌安全研究员Tavis Ormandy本周公开披露,该漏洞影响消费者芯片和服务器,包括Ryzen 3000系列部件。
正如Ormandy在一篇帖子中详细描述的那样,早在5月中旬,这个“Zenbleed”漏洞就首次与AMD共享。它可以用来通过网页上的Java脚本执行代码–受影响的PC不需要物理访问。如果攻击成功,Zenbleed允许攻击者查看任何CPU操作,包括发生在沙盒或虚拟机中的操作。(您可以在Ormandy的帖子中了解完整的技术概要,或在Tom的硬件报告中了解更详细的版本。)以下处理器系列中的所有Zen 2处理器都会受到影响:
AMD Ryzen 3000系列处理器
AMD Ryzen PRO 3000系列处理器
AMD Ryzen ThreadRipper 3000系列处理器
配备Radeon显卡的AMD Ryzen 4000系列处理器
AMD Ryzen PRO 4000系列处理器
配备Radeon显卡的AMD Ryzen 5000系列处理器
配备Radeon显卡的AMD Ryzen 7020系列处理器
AMD EPYC“罗马”处理器
目前,AMD只发布了第二代EPYC服务器CPU的微码更新,以及解释该漏洞的安全建议(提交为CVE-2023-20593)及其缓解的发布时间表。
对于消费者来说,解决方案将通过原始设备制造商(例如,戴尔或惠普用于预制PC和笔记本电脑,主板制造商用于DIY PC版本),到货日期定在今年晚些时候。ThreadRipper 3000部件将于10月份首次推出新的AGESA固件,随后Ryzen 4000移动处理器将于11月份推出。对于Ryzen 3000和4000台式CPU,以及Ryzen 5000和7020移动处理器,目标是2023年12月。
如果你不想等待AMD,Ormandy解释了如何将软件调整作为一种解决办法-尽管它对性能的影响尚不清楚。AMD的官方修复对性能的影响目前也不得而知,但在一份针对Tom硬件的声明中,AMD称这取决于工作量和PC配置。
无论如何,如果你有一台Zen2 CPU,你会想要在日历上提醒你检查这一缓解措施。及时应用它对您的在线安全将是重要的。
本文于2023年7月24日下午3:30更新,包括AMD的Zenbleed缓解计划和固件更新计划的详细信息。
有话要说...