Zenbleed açığı

 (lock.cmpxchg8b.com)
2 puan yazan GN⁺ 2023-07-25 | 1 yorum | WhatsApp'ta paylaş
  • Zen 2 sınıfı işlemcilerde bir güvenlik açığı keşfedildi. Buna AMD Ryzen ve EPYC işlemciler dahildir.
  • Bu açık, kriptografik anahtarlar ve parolalar gibi hassas bilgilerin sızdırılmasına izin verir.
  • Açık, vzeroupper komutunun kullanımını da içeren belirli bir komut dizisi nedeniyle tetiklenir.
  • Bu açık, işlemcinin paylaşılan register dosyasını kullanarak sistem genelinde gerçekleşen işlemlerin izlenebilmesini sağlar.
  • Bu hata, fuzzing tekniğiyle keşfedildi ve CPU'da yeterli coverage geri bildirimi olmadığı için daha önce bulunamamıştı.
  • AMD, açığı gidermek için mikrokod güncellemeleri yayımladı ve yazılımsal geçici çözüm de sunuluyor.
  • Bu açığın istismarını tespit etmek için güvenilir bir teknik bulunmuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-07-25
Hacker News görüşleri
  • Sanal makinede çalıştırmanın güvenliği garanti etmediğini gösteren bir açık
  • Son birkaç yılda birden fazla CPU açığı keşfedildi
  • Açığın zaman çizelgesi, sorunun AMD'ye tespit edilip bildirilme sürecini gösteriyor
  • Açık, kısa bir çalışma süresinden sonra bile hassas bilgileri kaydedebiliyor
  • Yeni mikro kod güncellemesi bazı işlemcilerdeki sorunu gideriyor, ancak herkes için geçerli değil
  • Açık, geniş bir AMD işlemci yelpazesini etkiliyor
  • Açığı barındıran web sitesi yüksek trafik yaşıyor
  • Bu makale, bilgilendiriciliği ve geçmişe dönük değeri nedeniyle övgü alıyor
  • EPYC dışındaki CPU'lar bu yılın sonuna kadar firmware güncellemesi almayacak
  • Mikro kod güncellendikten sonra bile bazı sistemlerde açık hâlâ çalışabiliyor