AMD
AMD’nin yeni tüketici, iş istasyonu ve sunucu işlemcilerinin birçoğunda kısa süre önce açıklanan bir hata, çiplerin saniyede çekirdek başına 30 kilobayta kadar veri sızdırmasına neden olabilir. yazar Tavis Ormandy, Google’ın Project Zero güvenlik ekibinin bir üyesi. “Zenbleed” güvenlik açığı (CVE-2023-20593) düzgün bir şekilde yürütüldüğünde, saldırganların AMD’nin Zen 2 mimarisine dayalı bir CPU kullanan herhangi bir sistemdeki diğer hassas verilerin yanı sıra şifreleme anahtarlarına, kök ve kullanıcı parolalarına erişmesine olanak verebilir.
Hata, saldırganların bir CPU’nun kayıtlarından verileri kaydırmasına olanak tanır. Modern işlemciler, “spekülatif yürütme” adı verilen, bundan sonra ne yapmaları isteneceğini tahmin ederek işlemleri hızlandırmaya çalışır. Ancak bazen CPU yanlış tahminde bulunur; Zen 2 işlemcileri, Zenbleed’in işini yapmak için kullandığı hata olan bazı yanlış tahmin türlerinden düzgün bir şekilde kurtulamıyor.
Kötü haber şu ki, istismar fiziksel donanım erişimi gerektirmiyor ve kötü amaçlı bir web sitesine JavaScript yüklenerek tetiklenebiliyor. İyi haber şu ki, en azından şimdilik, bu hatanın vahşi ortamda istismar edildiği herhangi bir durum yok gibi görünüyor, ancak güvenlik açığı ifşa edildiğinden bu durum hızla değişebilir ve hatadan yararlanmak için kesin zamanlama gerekir.
Şirket, “AMD, açıklanan güvenlik açığının araştırma ortamı dışında bilinen herhangi bir istismarından haberdar değil” dedi. Tom’s Hardware’e söyledi. Ağ şirketi Cloudflare ayrıca diyor sunucularında “hatadan yararlanıldığına dair hiçbir kanıt” yok.
Güvenlik açığı yazılımdan çok donanımda olduğu için, AMD’den bir üretici yazılımı güncellemesi, sorunu tam olarak düzeltmenin en iyi yoludur; Ormandy, bir yazılım güncellemesiyle de düzeltilebileceğini söylüyor, ancak “bir miktar performans maliyeti olabilir.” Hata, birkaç Ryzen masaüstü ve dizüstü bilgisayar işlemcisi, sunucular için EPYC 7002 serisi yongalar ve iş istasyonları için Threadripper 3000 ve 3000 Pro WX serisi CPU’lar dahil olmak üzere AMD’nin Zen 2 mimarisine dayalı tüm işlemcileri etkiliyor.
AMD’nin sahip olduğu zaten bir üretici yazılımı güncellemesi yayınladı EPYC 7002 çiplerini çalıştıran sunucular için sorunu hafifletmek—muhtemelen yamaların en önemlisi çünkü birden fazla sanal makine çalıştıran meşgul bir sunucu bilgisayar korsanları için bireysel tüketici bilgisayarlarından daha kazançlı bir hedeftir.
AMD, “herhangi bir performans etkisinin iş yüküne ve sistem yapılandırmasına bağlı olarak değişeceğini” söylüyor, ancak ek ayrıntı sağlamadı.
Ne zaman yama alacağım?
Zen 2 mimarisi ilk olarak yaklaşık dört yıl önce tüketici sistemlerine AMD Ryzen 3000 serisi biçiminde geldi; Ryzen 5 3600 özellikle bilgisayar üreticileri arasında popülerdi. Ancak AMD’nin son CPU nesillerindeki işlemci mimarilerini karıştırma ve eşleştirme alışkanlığı, Ryzen 4000, 5000 ve 7000 serilerine serpiştirilmiş bazı Zen 2 yongalarının olduğu ve bazı yeni sistemlerin yanı sıra eski sistemleri de etkilediği anlamına geliyor.
| İşlemci | Piyasaya sürülmüş | Planlanan düzeltme | Düzeltmelerle birlikte AGESA sürümü |
|---|---|---|---|
| Ryzen 3000 (masaüstü) | 2019 ortası | Aralık 2023 | ComboAM4v2PI_1.2.0.C |
| Ryzen 4000G (masaüstü) | 2020 ortası | Aralık 2023 | ComboAM4v2PI_1.2.0.C |
| Ryzen 4000 (dizüstü bilgisayar) | 2020 başı-ortası | Kasım 2023 | RenoirPI-FP6_1.0.0.D |
| Ryzen 5700U/5500U/5300U (dizüstü bilgisayar) | 2021 başı | Aralık 2023 | CezannePI-FP6_1.0.1.0 |
| Ryzen 7020 (dizüstü bilgisayar) | 2022 sonu | Aralık 2023 | MendocinoPI-FT6_1.0.0.6 |
| Ryzen Threadripper 3000 | 2019 sonu | Ekim 2023 | CastlePeakPI-SP3r3 1.0.0.A |
| Ryzen Threadripper Pro 3000WX | 2020 ortası | Kasım/Aralık 2023 | CastlePeakWSPI-sWRX8 1.0.0.C/ChagallWSPI-sWRX8 1.0.0.7 |
| EPYC 7002 | 2019 ortası | Yama mevcut | RomaPI 1.0.0.H |
Ryzen masaüstü işlemcileri kullanıyorsanız, tüm Ryzen 3000 serisi ve Ryzen 4000G serisi yongalar (ancak Olumsuz Daha eski bir Zen sürümünü kullanan Ryzen 3000G) Zenbleed’e karşı savunmasızdır. AMD, Aralık ayına kadar bir ürün yazılımı düzeltmesi yayınlamayı planlıyor, ancak güncellemenin dağıtılmasından anakartınız veya bilgisayar üreticiniz sorumlu olacak.
Dizüstü bilgisayarlar biraz daha zordur. Ryzen 4000 serisi dizüstü bilgisayar işlemcilerinin çoğu Zen 2 kullanıyor ve AMD, Kasım ayında onlar için bir güncelleme hazırlamayı planlıyor. Ryzen 5000 serisi dizüstü bilgisayar CPU’larının birçoğu Zen 3’e geçti ancak Ryzen 7 5700U, Ryzen 5 5500U ve Ryzen 3 5300U, Zen 2’yi kullanmaya devam etti. Bütçe sistemleri için 2022’nin sonlarında piyasaya sürülen Ryzen 7020 serisi CPU’lar da Zen 2 kullanıyor. AMD, Aralık ayında 5000 ve 7000 serisi yongalar için bir güncelleme yayınlamayı planlıyor. .
AMD, Ekim ayında Threadripper 3000 serisi sistemler için bir güncelleme ve Kasım ve Aralık aylarında Threadripper Pro 3000WX serisi sistemler için düzeltmeler yayınlamayı planlıyor.
Kaynak : https://arstechnica.com/?p=1956383