Luka bezpieczeństwa "Zenbleed" w procesorach AMD. Mogą wyciec tajne dane

Tavis Ormandy dokładnie opisał lukę Zenbleed na swoim blogu (została ona także zgłoszona pod identyfikatorem CVE-2023-20593). Według udostępnionych informacji, Zenbleed pozwala uzyskać dostęp do poufnych informacji przepływających przez procesor, w tym także kluczy szyfrujących i danych logowania użytkowników.

Co istotne, atak nie wymaga fizycznego dostępu do komputera (można go przeprowadzić np. za pomocą skryptu JavaScript na stronie internetowej) i działa na wszystkie aplikacje działające na komputerze, w tym maszyny wirtualne, piaskownice i kontenery.

Luka może być poważnym problemem dla środowisk chmurowych, gdzie możliwe jest pozyskanie poufnych informacji między różnymi maszynami wirtualnymi. W przypadku platform konsumenckich nie jest to aż tak duże zagrożenie.

Ormandy zdradził, że zgłosił problem do AMD już 15 maja 2023 roku. Wiemy, że producent już opracował stosowną poprawkę, ale w pierwszej kolejności została ona udostępniona do platform serwerowych (platformy desktopowe i mobilne mają ją otrzymać dopiero pod koniec roku). Na ten moment nie jest znane żadne publiczne wykorzystanie luki Zenbleed.

Luka Zenbleed występuje w procesorach AMD bazujących na starszej architekturze Zen 2 (nadal jednak bardzo popularnej w serwerach i platformach konsumenckich):

• AMD Ryzen 3000 (Marisse),
• AMD Ryzen 4000 (Renoir),
• AMD Ryzen Threadripper 3000/Pro 3000WX (Castle Peak),
• AMD Ryzen 5000 (Lucienne),
• AMD Ryzen 7020 (Mendocino),
• AMD Epyc 7002 (Rome).

Nie wiadomo czy problem dotyczy również chipów z konsol Xbox Series X i S, PlayStation 5 oraz Steam Deck (też bazujących na architekturze Zen 2).

Nowy mikrokod może jednak mieć wpływ na wydajność systemu - w oświadczeniu dla serwisu Tom's Hardware czytamy:

Wpływ na wydajność będzie różny w zależności od obciążenia i konfiguracji systemu. Firma AMD nie jest świadoma żadnego wykorzystania opisywanej luki poza środowiskiem badawczym.