Laut Berichten besteht bei der AMD Zen 2 Plattform ein potenzielles Risiko für einen neuen „Zenbleed“-Bug, der zu möglichen Datendiebstählen und Angriffen führen könnte. Es wurde festgestellt, dass AMD Zen 2 CPUs anfällig für Datenlecks sind, und es wird erwartet, dass die meisten Patches bis Ende 2023 veröffentlicht werden. Der Fehler wurde von Tavis Ormandy, einem Forscher bei Google Information Security, entdeckt. Betroffen sind alle Prozessoren der Zen-2-Architektur, einschließlich Ryzen 3000/4000/5000 und AMD EPYC CPUs. Der „Zenbleed“-Bug kann ohne physische Plattform ausgenutzt werden und ist über Webseiten und Online-Daten ausführbar. Erwähnenswert ist, dass AMD die Existenz dieser Schwachstelle bestätigt hat, indem ein Security Bulletin veröffentlicht wurde, das das Problem ausführlich beschreibt.
Der „Zenbleed“-Bug ermöglicht einen Angriff, bei dem 30 KB an Daten pro Kern und Sekunde illegal extrahiert werden können. Dieser Angriff ist vor allem softwarebasiert, wodurch Informationen von sämtlichen auf dem Prozessor ausgeführten Softwareelementen wie virtuellen Maschinen gestohlen werden können. Die Schwachstelle kann ausgenutzt werden, indem beliebiger Code unprivilegiert ausgeführt wird und dabei die Registerdateien geändert werden. Im Anschluss beschreibt der Sicherheitsexperte detailliert den Fehler.
The bug works like this, first of all you need to trigger something called the XMM Register Merge Optimization2, followed by a register rename and a mispredicted vzeroupper. This all has to happen within a precise window to work. We now know that basic operations like strlen, memcpy and strcmp will use the vector registers – so we can effectively spy on those operations happening anywhere on the system! It doesn’t matter if they’re happening in other virtual machines, sandboxes, containers, processes, whatever! This works because the register file is shared by everything on the same physical core. In fact, two hyperthreads even share the same physical register file.
Der „Zenbleed“-Fehler könnte die Leistung der Zen 2-CPUs beeinträchtigen, aber das genaue Ausmaß der Beeinträchtigung ist derzeit unbekannt. Es besteht die Möglichkeit, dass der Fehler in mehreren CPUs vorhanden ist, weshalb das Unternehmen jetzt Priorität auf eine dauerhafte Behebung setzen sollte, obwohl es auch Komplikationen gibt. AMD plant, die AESGA-Firmware für mehrere OEMs voraussichtlich erst im Oktober 2023 zu veröffentlichen. Im Folgenden finden Sie eine Tabelle von Tom’s Hardware, die einen kurzen Überblick über die erwarteten Updates gibt.
Processor | Agesa Firmware | Availability to OEMs | Microcode |
2nd-Gen AMD EPYC Rome Processors | RomePI 1.0.0.H | Now | 0x0830107A |
Ryzen 3000 Series “Matisse” | ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C | Target Dec 2023 for both | ? |
Ryzen 4000 Series „Renoir“ AM4 | ComboAM4v2PI_1.2.0.C | Target Dec 2023 | ? |
Threadripper 3000-Series „Caslle Peak“ | CastlePeakPI-SP3r3 1.0.0.A | Target Oct 2023 | ? |
Threadripper PRO 3000WX-Series „Castle Peak“ | CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.7 | Target Nov 2023 | Target Dec 2023 | ? |
Ryzen 5000 Series Mobile „Lucienne“ | CezannePI-FP6_1.0.1.0 | Target Dec 2023 | ? |
Ryzen 4000 Series Mobile „Renoir“ | RenoirPI-FP6_1.0.0.D | Target Nov 2023 | ? |
Ryzen 7020 Series „Mendocino“ | MendocinoPI-FT6_1.0.0.6 | Target Dec 2023 | ? |
Quelle: WccfTech
7 Antworten
Kommentar
Lade neue Kommentare
Urgestein
Mitglied
Urgestein
Veteran
Mitglied
Urgestein
Alle Kommentare lesen unter igor´sLAB Community →