[情報] AMD Zen2的CPU漏洞Zenbleed

臉書看HKEPC看到的 想當年intel被A粉狂笑有漏洞買i就是盤子的年代原來結果自己也有洞阿 以下臉書原文 - 外媒報導，Google 安全專家 Tavis Ormandy 公佈了在 AMD 處理器中發現新漏洞 「Zenbleed」、漏洞識別碼為 CVE-2023-20593，該漏洞可以從 CPU 中竊取 受保護的信息，例如加密密鑰和用戶登錄訊息。該攻擊不需要對計算機或服務器 進行物理訪問，甚至可以通過網頁上的 JavaScript 執行， 受影響 CPU 型號包括 EPYC、Ryzen 3000 / 4000 / 5000 等 Zen 2 微架構產品。 MD Zenbleed 漏洞允許以每核每秒 30kb 的速率進行數據洩露（盜竊）， 從而提供足夠的吞吐量來竊取流經處理器的敏感訊息。 這種攻擊適用能攻撃處理器上運行的所有軟件，包括了虛擬機、沙盒的進程也能讀取。 這種跨虛擬機讀取數據的攻擊能力，對於雲服務提供商和使用雲實例的人來說 尤其具有威脅。 在 Tavis Ormandy 公佈漏洞後數小時，AMD 亦發表 AMD-SB-7008 公告承認漏洞存在， 受影響處理器全部來自 Zen 2 微架構，AMD 將優先為 EPYC 7002 伺服器處理器提供 AGESA 修正韌體。 消費級型號要到今年 12 月才會提供 ComboAM4v2PI_1.2.0.C AGESA 修正韌體， 當中包括了 Ryzen 3000 / 4000 / 5000、PS5、Xbox Series X 和 S 以及 Steam Deck 中使用的 AMD 處理器也需要更新。 受影響型號名單︰ AMD Ryzen 3000 AMD Ryzen PRO 3000 AMD Ryzen Threadripper 3000 AMD Ryzen 4000 with Radeon Graphics AMD Ryzen PRO 4000 Processors AMD Ryzen 5000 with Radeon Graphics AMD Ryzen 7020 with Radeon Graphics AMD EPYC 7002 簡單說，只要是 Zen 2 就會有份。 ref: https://www.facebook.com/hkepc/posts/670487455096490 https://tinyurl.com/5n6th9h7 https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.228.140.213 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1690264330.A.2D9.html