AMD 漏洞:Zenbleed 漏洞可能洩露 Ryzen 處理器的密碼和加密金鑰
漏洞詳情
最近,一項影響 AMD Zen 2 系列處理器(包括廣受歡迎的經濟實惠型 Ryzen 5 3600)的新漏洞被發現,該漏洞可以被利用來竊取敏感資料,例如密碼和加密金鑰。Google 的安全研究人員 Tavis Ormandy 在 5 月 15 日向 AMD 報告了這個漏洞,並在本週的部落格中公開揭示了這個名為“Zenbleed”的漏洞(命名為 CVE-2023-20593)。Zen 2 產品系列的所有處理器都受到此漏洞的影響,包括 AMD Ryzen 3000/4000/5000/7020 系列、Ryzen Pro 3000/4000 系列和 AMD 的 EPYC“ Rome”資料中心處理器。AMD 已經公佈了漏洞修補的預計時間表,大多數韌體更新預計要到今年晚些時候才會到位。
根據 Cloudflare 的資料,Zenbleed 漏洞不需要物理存取使用者的計算機就能攻擊系統,甚至可以透過網頁上的 JavaScript 從遠端執行。如果成功執行,這個漏洞讓資料以每核心每秒 30KB 的速度傳輸。根據 Ormandy 的說法,這足夠快地竊取執行在系統上的任何軟體的敏感資料,包括虛擬機器、沙箱、容器和程式。正如 TomsHardware 所指出的,這種漏洞的靈活性對於基於雲的服務尤其令人擔憂,因為它可能被用來監視雲實例中的使用者。更糟糕的是,Zenbleed 漏洞不需要任何特殊系統呼叫或特權來利用。「我不知道任何可靠的技術來檢測攻擊利用」,Ormandy 表示。
這個漏洞與 Spectre 型別的 CPU 漏洞有一些相似之處,它利用了預測執行中的缺陷,但執行起來要容易得多,更像是 Meltdown 系列的攻擊。有關 Zenbleed 漏洞的技術細節可以在 Ormandy 的部落格上找到。
解決方案
對於 Zenbleed 漏洞,AMD 已經針對第二代 Epyc 7002 處理器發布了一個微碼補丁,但對於其餘 CPU 系列的更新預計最早要到 2023 年 10 月才會發布。該公司尚未透露這些更新是否會影響系統效能,但 AMD 在向 TomsHardware 提供的宣告中暗示這是可能的:“任何效能影響將根據工作負載和系統配置而有所不同。AMD 不知道所述漏洞在研究環境之外是否有已知的利用”。Ormandy“強烈建議”受影響的使用者應用 AMD 的微碼更新,但他也在他的部落格上提供了一個軟體解決方案的說明,可以在等待廠商將修復措施納入未來 BIOS 更新之前使用。Ormandy 警告說,這個解決方案可能會影響系統效能,但至少比等待韌體更新要好。
評論和建議
這個 AMD Zenbleed 漏洞的發現再次凸顯了資料安全的重要性。對於個人使用者和企業來說密碼和加密金鑰是保護他們的資料免受未經授權存取的關鍵。然而即使使用高度安全的處理器,這種資料也可能受到攻擊。
對於受影響的使用者,我們建議立即應用 AMD 提供的微碼更新或軟體解決方案。這是保護系統免受惡意攻擊的一個重要步驟。同時使用者還應該密切關注廠商的 BIOS 更新,以便及時獲得相關的漏洞修復。在等待更新期間,使用者應該保持警惕,避免在不可靠的網站上點選可疑連結或下載未知的軟體。
對於企業和雲服務提供商來說他們應該及時更新各種伺服器和虛擬機器上的漏洞修復,並加固監控系統以檢測和防止未經授權的資料存取。同時他們也應該向使用者提供相關的安全建議,協助他們保護敏感資料。
總之這次 AMD Zenbleed 漏洞的發現提醒了我們資料安全的重要性以及持續關注和更新系統的必要性。只有保持警惕並及時採取措施,我們才能更好地保護我們的資料。
延伸閱讀
- 「AI 助理面臨挑戰:Alexa 與 Siri 遭遇漏洞與延遲問題!」
- 蘋果緊急修補 iPhone 與 iPad 漏洞!解密「極端精巧攻擊」背後的真相
- Facebook 頒獎 10 萬美元給研究者!揭露內部存取漏洞的驚人發現!
- 駭客利用新發布的 Ivanti VPN 漏洞入侵企業網路!警惕針對安全的威脅!
- 《印度政府網站安全漏洞再暴露!使用者被重定向至詐騙網站》
- AMD 在 CES 2025 揭曉新一代筆記型電腦、桌上型電腦與遊戲掌機專用處理器!
- 「AMD CES 2025 釋出會全攻略:你不容錯過的視訊直播!」
- 英特爾在 2025 CES 搶先揭露最新處理器陣容!
- AMD 2025 年 CES 發布會全攻略:如何收看精彩內容!
- 「AMD CES 2025 印象 分享:這裡是你可以觀看的完整指南!」
