Một lỗ hổng mới đã được phát hiện trong bộ xử lý Zen 2 của AMD—một lỗ hổng cho phép dữ liệu như mật khẩu và khóa mã hóa bị đánh cắp khỏi CPU.
Được công khai trong tuần này bởi nhà nghiên cứu bảo mật Tavis Ormandy của Google, lỗi AMD ‘Zenbleed’ này ảnh hưởng đến chip tiêu dùng cũng như máy chủ, bao gồm cả các bộ phận dòng Ryzen 3000.
Như Ormandy đã nêu chi tiết trong một bài đăng, lỗ hổng “Zenbleed” này lần đầu tiên được chia sẻ với AMD vào giữa tháng Năm. Nó có thể được sử dụng để thực thi mã thông qua Javascript trên trang web—không cần truy cập vật lý cho PC bị ảnh hưởng.
Và nếu khai thác thành công, Zenbleed cho phép kẻ tấn công xem bất kỳ hoạt động nào của CPU, kể cả những hoạt động xảy ra trong hộp cát hoặc máy ảo. (Bạn có thể xem bản tóm tắt kỹ thuật đầy đủ trong bài đăng của Ormandy hoặc phiên bản tóm tắt hơn trong báo cáo Phần cứng của Tom này.) Tất cả bộ xử lý Zen 2 trong các dòng bộ xử lý sau đều bị ảnh hưởng:
- Bộ xử lý dòng AMD Ryzen 3000
- Bộ xử lý dòng AMD Ryzen PRO 3000
- Bộ xử lý dòng AMD Ryzen Threadripper 3000
- Bộ xử lý AMD Ryzen 4000 Series với Đồ họa Radeon
- Bộ xử lý dòng AMD Ryzen PRO 4000
- Bộ xử lý AMD Ryzen 5000 Series với Đồ họa Radeon
- Bộ xử lý dòng AMD Ryzen 7020 với đồ họa Radeon
- Bộ xử lý AMD EPYC “Rome”
Tại thời điểm này, AMD chỉ phát hành một bản cập nhật vi mã cho các CPU máy chủ EPYC thế hệ thứ 2, cùng với một lời khuyên bảo mật giải thích lỗ hổng bảo mật (được gửi là CVE-2023-20593) và lịch phát hành để giảm thiểu.
Đối với người tiêu dùng, bản sửa lỗi Zenbleed sẽ được chuyển qua các nhà sản xuất thiết bị gốc (ví dụ: Dell hoặc HP đối với PC và máy tính xách tay dựng sẵn cũng như các nhà sản xuất bo mạch chủ đối với các bản dựng PC DIY), với ngày đến được ấn định vào cuối năm nay. Các bộ phận của Threadripper 3000 lần đầu tiên được cung cấp cho chương trình cơ sở AGESA mới vào tháng 10, tiếp theo là bộ xử lý di động Ryzen 4000 vào tháng 11. Đối với CPU máy tính để bàn Ryzen 3000 và 4000, cũng như bộ xử lý di động Ryzen 5000 và 7020, mục tiêu là tháng 12 năm 2023.
Nếu bạn không muốn đợi AMD, Ormandy sẽ giải thích cách chỉnh sửa phần mềm như một giải pháp thay thế—mặc dù tác động của nó đối với hiệu suất vẫn chưa được biết. Tác động của các bản sửa lỗi chính thức của AMD đối với hiệu suất hiện vẫn chưa được biết, mặc dù trong một tuyên bố với Tom’s Hardware, AMD mô tả nó phụ thuộc vào khối lượng công việc và cấu hình PC.
Trong mọi trường hợp, nếu bạn sở hữu CPU Zen 2, bạn sẽ muốn đặt lời nhắc trên lịch của mình để kiểm tra sự giảm thiểu này. Áp dụng nó kịp thời sẽ rất quan trọng đối với bảo mật trực tuyến của bạn.
