AMD 漏洞:Zenbleed 漏洞可能洩露 Ryzen 處理器的密碼和加密金鑰
漏洞詳情
最近,一項影響 AMD Zen 2 系列處理器(包括廣受歡迎的經濟實惠型 Ryzen 5 3600)的新漏洞被發現,該漏洞可以被利用來竊取敏感資料,例如密碼和加密金鑰。Google 的安全研究人員 Tavis Ormandy 在 5 月 15 日向 AMD 報告了這個漏洞,並在本週的部落格中公開揭示了這個名為“Zenbleed”的漏洞(命名為 CVE-2023-20593)。Zen 2 產品系列的所有處理器都受到此漏洞的影響,包括 AMD Ryzen 3000/4000/5000/7020 系列、Ryzen Pro 3000/4000 系列和 AMD 的 EPYC“ Rome”資料中心處理器。AMD 已經公佈了漏洞修補的預計時間表,大多數韌體更新預計要到今年晚些時候才會到位。
根據 Cloudflare 的資料,Zenbleed 漏洞不需要物理存取使用者的計算機就能攻擊系統,甚至可以透過網頁上的 JavaScript 從遠端執行。如果成功執行,這個漏洞讓資料以每核心每秒 30KB 的速度傳輸。根據 Ormandy 的說法,這足夠快地竊取執行在系統上的任何軟體的敏感資料,包括虛擬機器、沙箱、容器和程式。正如 TomsHardware 所指出的,這種漏洞的靈活性對於基於雲的服務尤其令人擔憂,因為它可能被用來監視雲實例中的使用者。更糟糕的是,Zenbleed 漏洞不需要任何特殊系統呼叫或特權來利用。「我不知道任何可靠的技術來檢測攻擊利用」,Ormandy 表示。
這個漏洞與 Spectre 型別的 CPU 漏洞有一些相似之處,它利用了預測執行中的缺陷,但執行起來要容易得多,更像是 Meltdown 系列的攻擊。有關 Zenbleed 漏洞的技術細節可以在 Ormandy 的部落格上找到。
解決方案
對於 Zenbleed 漏洞,AMD 已經針對第二代 Epyc 7002 處理器發布了一個微碼補丁,但對於其餘 CPU 系列的更新預計最早要到 2023 年 10 月才會發布。該公司尚未透露這些更新是否會影響系統效能,但 AMD 在向 TomsHardware 提供的宣告中暗示這是可能的:“任何效能影響將根據工作負載和系統配置而有所不同。AMD 不知道所述漏洞在研究環境之外是否有已知的利用”。Ormandy“強烈建議”受影響的使用者應用 AMD 的微碼更新,但他也在他的部落格上提供了一個軟體解決方案的說明,可以在等待廠商將修復措施納入未來 BIOS 更新之前使用。Ormandy 警告說,這個解決方案可能會影響系統效能,但至少比等待韌體更新要好。
評論和建議
這個 AMD Zenbleed 漏洞的發現再次凸顯了資料安全的重要性。對於個人使用者和企業來說密碼和加密金鑰是保護他們的資料免受未經授權存取的關鍵。然而即使使用高度安全的處理器,這種資料也可能受到攻擊。
對於受影響的使用者,我們建議立即應用 AMD 提供的微碼更新或軟體解決方案。這是保護系統免受惡意攻擊的一個重要步驟。同時使用者還應該密切關注廠商的 BIOS 更新,以便及時獲得相關的漏洞修復。在等待更新期間,使用者應該保持警惕,避免在不可靠的網站上點選可疑連結或下載未知的軟體。
對於企業和雲服務提供商來說他們應該及時更新各種伺服器和虛擬機器上的漏洞修復,並加固監控系統以檢測和防止未經授權的資料存取。同時他們也應該向使用者提供相關的安全建議,協助他們保護敏感資料。
總之這次 AMD Zenbleed 漏洞的發現提醒了我們資料安全的重要性以及持續關注和更新系統的必要性。只有保持警惕並及時採取措施,我們才能更好地保護我們的資料。
延伸閱讀
- 《Apex Legends 駭客稱遊戲開發者修補了直播主使用的漏洞》
- 帕羅奧圖網路防火牆漏洞遭攻擊,數千家公司面臨新的災害
- Microsoft 員工安全疏失,內部密碼外洩
- Meesho 透過微型企業家填補印度供應鏈網路的漏洞
- Google 調查 Android 14 多個個人檔案更新漏洞
- 蘋果修復長年破壞 iOS 隱私功能的漏洞
- 會讓你嘆為觀止的「最頂尖 20 個系統管理員密碼」
- 鴨嘴獸金融閃貸漏洞痛失 2.23 百萬美元,引發巨大損失!
- AMD 與韓國 KT 電信共同支援 AI 軟體開發商 Moreh,進行 2200 萬美元 B 輪融資
- 2025 年起 Nvidia 和 AMD 計劃推出 Arm PC 晶片,路透報導