Luka bezpieczeństwa "Zenbleed" w procesorach AMD. Mogą wyciec tajne dane

Tavis Ormandy dokładnie opisał lukę Zenbleed na swoim blogu (została ona także zgłoszona pod identyfikatorem CVE-2023-20593). Według udostępnionych informacji, Zenbleed pozwala uzyskać dostęp do poufnych informacji przepływających przez procesor, w tym także kluczy szyfrujących i danych logowania użytkowników.

Co istotne, atak nie wymaga fizycznego dostępu do komputera (można go przeprowadzić np. za pomocą skryptu JavaScript na stronie internetowej) i działa na wszystkie aplikacje działające na komputerze, w tym maszyny wirtualne, piaskownice i kontenery.

Luka może być poważnym problemem dla środowisk chmurowych, gdzie możliwe jest pozyskanie poufnych informacji między różnymi maszynami wirtualnymi. W przypadku platform konsumenckich nie jest to aż tak duże zagrożenie.

Dalsza część artykułu pod materiałem wideo

Ormandy zdradził, że zgłosił problem do AMD już 15 maja 2023 roku. Wiemy, że producent już opracował stosowną poprawkę, ale w pierwszej kolejności została ona udostępniona do platform serwerowych (platformy desktopowe i mobilne mają ją otrzymać dopiero pod koniec roku). Na ten moment nie jest znane żadne publiczne wykorzystanie luki Zenbleed.

Luka Zenbleed występuje w procesorach AMD bazujących na starszej architekturze Zen 2 (nadal jednak bardzo popularnej w serwerach i platformach konsumenckich):

• AMD Ryzen 3000 (Marisse),
• AMD Ryzen 4000 (Renoir),
• AMD Ryzen Threadripper 3000/Pro 3000WX (Castle Peak),
• AMD Ryzen 5000 (Lucienne),
• AMD Ryzen 7020 (Mendocino),
• AMD Epyc 7002 (Rome).

Nie wiadomo czy problem dotyczy również chipów z konsol Xbox Series X i S, PlayStation 5 oraz Steam Deck (też bazujących na architekturze Zen 2).

Nowy mikrokod może jednak mieć wpływ na wydajność systemu - w oświadczeniu dla serwisu Tom's Hardware czytamy:

Wpływ na wydajność będzie różny w zależności od obciążenia i konfiguracji systemu. Firma AMD nie jest świadoma żadnego wykorzystania opisywanej luki poza środowiskiem badawczym.