Google’ın Project Zero güvenlik ekibinin bir üyesi olan Tavis Ormandy, AMD’nin yeni tüketici, iş istasyonu ve sunucu işlemcilerinin birçoğunda yakın zamanda açıklanan bir hatanın, çiplerin saniyede çekirdek başına 30 kilobayta kadar veri sızdırmasına neden olabileceğini yazıyor. “Zenbleed” olarak adlandırılan güvenlik açığı (CVE-2023-20593), düzgün bir şekilde yürütüldüğünde, saldırganların AMD’nin Zen 2 mimarisine dayalı bir CPU kullanan herhangi bir sistemdeki diğer hassas verilerin yanı sıra şifreleme anahtarlarına, kök ve kullanıcı parolalarına erişmesine izin verebilir.
Hata, saldırganların bir CPU’nun kayıtlarından verileri kaydırmasına olanak tanır. Modern işlemciler, “spekülatif yürütme” adı verilen, bundan sonra ne yapmaları isteneceğini tahmin ederek işlemleri hızlandırmaya çalışır. Ancak bazen CPU yanlış tahminde bulunur; Zen 2 işlemcileri, Zenbleed’in işini yapmak için kullandığı hata olan bazı yanlış tahmin türlerinden düzgün bir şekilde kurtulamıyor.
Kötü haber şu ki, istismar fiziksel donanım erişimi gerektirmiyor ve kötü amaçlı bir web sitesine JavaScript yüklenerek tetiklenebiliyor. İyi haber şu ki, en azından şimdilik, bu hatanın vahşi ortamda istismar edildiği herhangi bir durum yok gibi görünüyor, ancak güvenlik açığı ifşa edildiğinden bu durum hızla değişebilir ve hatadan yararlanmak için kesin zamanlama gerekir.
Şirket, Tom’s Hardware’e “AMD, açıklanan güvenlik açığının araştırma ortamı dışında bilinen herhangi bir istismarından haberdar değil” dedi. Ağ şirketi Cloudflare ayrıca sunucularında “hatadan yararlanıldığına dair hiçbir kanıt olmadığını” söylüyor.
Güvenlik açığı donanımda olduğundan, AMD’den bir üretici yazılımı güncellemesi, sorunu tam olarak düzeltmenin en iyi yoludur; Ormandy, bir yazılım güncellemesiyle de düzeltilebileceğini söylüyor, ancak “bir miktar performans maliyeti olabilir.” Hata, birkaç Ryzen masaüstü ve dizüstü bilgisayar işlemcisi, sunucular için EPYC 7002 serisi yongalar ve iş istasyonları için Threadripper 3000 ve 3000 Pro WX serisi CPU’lar dahil olmak üzere AMD’nin Zen 2 mimarisine dayalı tüm işlemcileri etkiliyor.
AMD, EPYC 7002 yongalarını çalıştıran sunucular için sorunu hafifleten bir ürün yazılımı güncellemesi yayınladı – muhtemelen yamaların en önemlisi, çünkü birden çok sanal makine çalıştıran meşgul bir sunucu bilgisayar korsanları için bireysel tüketici bilgisayarlarından daha kazançlı bir hedef.
AMD, “herhangi bir performans etkisinin iş yüküne ve sistem yapılandırmasına bağlı olarak değişeceğini” söylüyor, ancak ek ayrıntı sağlamadı.
Ne zaman yama alacağım?
Zen 2 mimarisi ilk olarak yaklaşık dört yıl önce tüketici sistemlerine AMD Ryzen 3000 serisi biçiminde geldi; Ryzen 5 3600 özellikle bilgisayar üreticileri arasında popülerdi. Ancak AMD’nin son CPU nesillerindeki işlemci mimarilerini karıştırma ve eşleştirme alışkanlığı, Ryzen 4000, 5000 ve 7000 serilerine serpiştirilmiş bazı Zen 2 yongaları olduğu anlamına gelir ve bu da eski sistemlerin yanı sıra bazı yeni sistemleri de etkiler.
İşlemci | Piyasaya sürülmüş | Planlanan düzeltme | Düzeltmelerle birlikte AGESA sürümü |
---|---|---|---|
Ryzen 3000 (masaüstü) | 2019 ortası | Aralık 2023 | ComboAM4v2PI_1.2.0.C |
Ryzen 4000G (masaüstü) | 2020 ortası | Aralık 2023 | ComboAM4v2PI_1.2.0.C |
Ryzen 4000 (dizüstü bilgisayar) | 2020 başı-ortası | Kasım 2023 | RenoirPI-FP6_1.0.0.D |
Ryzen 5700U/5500U/5300U (dizüstü bilgisayar) | 2021 başı | Aralık 2023 | CezannePI-FP6_1.0.1.0 |
Ryzen 7020 (dizüstü bilgisayar) | 2022 sonu | Aralık 2023 | MendocinoPI-FT6_1.0.0.6 |
Ryzen Threadripper 3000 | 2019 sonu | Ekim 2023 | CastlePeakPI-SP3r3 1.0.0.A |
Ryzen Threadripper Pro 3000WX | 2020 ortası | Kasım/Aralık 2023 | CastlePeakWSPI-sWRX8 1.0.0.C/ChagallWSPI-sWRX8 1.0.0.7 |
EPYC 7002 | 2019 ortası | Yama mevcut | RomaPI 1.0.0.H |
Ryzen masaüstü işlemcileri kullanıyorsanız, tüm Ryzen 3000 serisi ve Ryzen 4000G serisi yongalar (ancak Olumsuz Daha eski bir Zen sürümünü kullanan Ryzen 3000G) Zenbleed’e karşı savunmasızdır. AMD, Aralık ayına kadar bir ürün yazılımı düzeltmesi yayınlamayı planlıyor, ancak güncellemenin dağıtılmasından anakartınız veya bilgisayar üreticiniz sorumlu olacak.
Dizüstü bilgisayarlar biraz daha zordur. Ryzen 4000 serisi dizüstü bilgisayar işlemcilerinin çoğu Zen 2 kullanıyor ve AMD, Kasım ayında onlar için bir güncelleme hazırlamayı planlıyor. Ryzen 5000 serisi dizüstü bilgisayar CPU’larının çoğu Zen 3’e geçti ancak Ryzen 7 5700U, Ryzen 5 5500U ve Ryzen 3 5300U, Zen 2’yi kullanmaya devam etti. Bütçe sistemleri için 2022’nin sonlarında piyasaya sürülen Ryzen 7020 serisi CPU’lar da Zen 2 kullanıyor. AMD, Aralık ayında 5000 ve 7000 serisi yongalar için bir güncelleme yayınlamayı planlıyor. .
AMD, Ekim ayında Threadripper 3000 serisi sistemler için bir güncelleme ve Kasım ve Aralık aylarında Threadripper Pro 3000WX serisi sistemler için düzeltmeler yayınlamayı planlıyor.