Обнаружена уязвимость AMD "Zenbleed" в Zen 2, исправления для EPYC уже доступны, остальным ждать до ноября и декабря

Переведено с помощью DeepL + Ни слова от AMD про PS5 + XSX + XSS + Steam Deck, там APU на базе Zen 2

Тэвис Орманди (Tavis Ormandy), исследователь из Google Information Security, вчера опубликовал информацию о новой уязвимости, обнаруженной им в процессорах AMD Zen 2 при независимых обстоятельствах. Он утверждает, что сообщил о своих находках компании AMD 15 мая. Сайт Tom's Hardware быстро откликнулся на открытие Орманди: "Уязвимость "Zenbleed" охватывает весь стек продуктов Zen 2, включая процессоры AMD EPYC для центров обработки данных и процессоры Ryzen 3000/4000/5000, и позволяет похищать защищенную информацию с процессора, например, ключи шифрования и логины пользователей. Атака не требует физического доступа к компьютеру или серверу и может быть выполнена даже через javascript на веб-странице".

Tom's Hardware получил краткое заявление от AMD по поводу обнаружения этих уязвимостей: "Любое влияние на производительность будет зависеть от рабочей нагрузки и конфигурации системы. AMD не знает ни об одной известной эксплуатации описанной уязвимости за пределами исследовательской среды". Как сообщается, компания опубликовала бюллетень AMD-SB-7008 всего через несколько часов после выхода оригинальной статьи. С тех пор он был обновлен. По версии Tom's Hardware, в кратком заявлении компании: "предполагается, что исправления окажут некоторое влияние на производительность, но мы должны провести независимые бенчмарки, когда исправления появятся для потребительских продуктов Ryzen. Пока же мы попросили AMD предоставить любые приблизительные данные".

Представитель Google заявил в ответ на запрос Tom's Hardware: "Мы знаем об уязвимости аппаратного обеспечения AMD, описанной в CVE-2023-20593, которая была обнаружена Тэвисом Орманди (Tavis Ormandy), исследователем безопасности в Google, и тесно сотрудничаем с AMD и отраслевыми партнерами. Мы работаем над устранением этой уязвимости на всех платформах Google".

Далее в статье подробно описывается этот риск безопасности: "Уязвимость Zenbleed зарегистрирована как (вышеупомянутая) CVE-2023-20593 и позволяет осуществлять эксфильтрацию (кражу) данных со скоростью 30 Кб на ядро в секунду, что обеспечивает достаточную пропускную способность для кражи конфиденциальной информации, проходящей через процессор. Эта атака действует на все программное обеспечение, работающее на процессоре, включая виртуальные машины, песочницы, контейнеры и процессы. Способность этой атаки считывать данные с виртуальных машин представляет особую опасность для поставщиков облачных услуг и тех, кто использует облачные ресурсы". Отсюда и быстрый выпуск патчей для серверных процессоров EPYC - к сожалению, владельцам основных настольных и мобильных процессоров Zen 2 придется ждать исправлений до ноября или декабря.