據報導AMD Zen2平台容易受到新的 Zenbleed漏洞的影響,從而導致大規模數據盜竊和多種潛在攻擊。
Google訊息安全研究員Tavis Ormandy最初發現了該漏洞。該錯誤擴展到Zen2架構內的所有處理器,例如Ryzen 3000/4000/5000和AMD EPYC CPU。Zenbleed漏洞不需要物理平台,可以透過網頁和線上數據執行。然而一個積極的方面是AMD已經透過發布安全公告承認了該漏洞,並詳細強調了該問題。
它擴展了Zenbleed漏洞,以每核每秒30kb的速度進行非法數據提取。由於這種攻擊主要是來自軟體的,因此它可以透過處理器上執行的所有軟體元素(例如虛擬機)竊取訊息。透過更改寄存器文件,可以透過非特權任意代碼執行來執行該錯誤。
據說Zenbleed錯誤會影響Zen2 CPU的性能,但降級的程度尚未明確。此錯誤可能存在於多個CPU中;因此永久修復應該是公司目前的首要任務;然而也存在一些並發症。不過Tavis還建議透過軟體調整進行臨時修復,這將導致更高的性能權衡,而且所涉及的方法對於普通消費者來說很複雜。據報導Tavis已於2023年5月15日向 AMD通報了該問題,但該公司並未迅速解決。現在建議Zen2平台的消費者等待即將推出的AGESA韌體。
AMD已經針對EPYC 7002系列發放了更新韌體RomePI 1.0.0.H,編號0x0830107A。
針對Ryzen處理器的新韌體則都要等到11-12月份才會發放,各個系列對應的韌體版本分別為:
- 桌上型Ryzen 3000 Matisse:ComboAM4v2PI_1.2.0.C/ComboAM4PI_1.0.0.C、11/12月
- 桌上型Ryzen 4000 Renoir:ComboAM4v2PI_1.2.0.C、12月
- Ryzen ThreadRipper 3000 Caslle Peak:CastlePeakPI-SP3r3 1.0.0.A、12月
- Ryzen ThreadRipper PRO 3000WX Caslle Peak:CastlePeakWSPI-sWRX8 1.0.0.C/ChagallWSPI-sWRX8 1.0.0.7、11/12月
- Mobile Ryzen 4000 Renoir:RenoirPI-FP6_1.0.0.D、11月
- Mobile Ryzen 5000 Lucienne:CezannePI-FP6_1.0.1.0、12月
- Mobile Ryzen 7000 Mendocino:MendocinoPI-FT6_1.0.0.6、12月
消息來源
|