کمیته رکن چهارم – آسیبپذیری جدید Zenbleed در پردازندههای سری AMD Zen 2 که شامل محصولات محبوبی ازجمله خانواده رایزن ۵ ۳۶۰۰ میشود، پیدا شده است که دسترسی به اطلاعات حساسی مثل گذرواژهها و کلیدهای رمزنگاری را ممکن میکند. درحالحاضر بهروزرسانی خاصی برای مصرفکنندگان معمولی دستگاههایی که با این ریسک مواجه هستند، منتشر نشده است.
«تاویس اورماندی»، محقق امنیتی گوگل آسیبپذیری خطرناکی را در سری پردازندههای Zen 2 شرکت AMD کشف کرده و عنوان Zenbleed را به آن داده است. این آسیبپذیری در تمام پردازندههای سری رایزن ۳۰۰۰ / ۴۰۰۰ / ۵۰۰۰ / ۷۰۲۰ و رایزن پرو ۳۰۰۰ / ۴۰۰۰ و EPYC Rome وجود دارد.
این محقق اولینبار در تاریخ ۱۵ مه (۲۵ اردیبهشتماه) وجود این آسیبپذیری را به اطلاع AMD رساند. اما این شرکت از آن زمان تاکنون تنها یک بهروزرسانی میکروکد را برای نسل دوم پردازندههای سرور EPYC منتشر کرده است. مصرفکنندگانی که پردازندههایشان با این آسیبپذیری روبهرو است، در دنباله سال از طریق بهروزرسانی تولیدکنندگان سختافزارهای خود میتوانند این ایراد را برطرف کنند.
بهروزرسانی برای رفع مشکل Zenbleed چه زمانی منتشر میشود؟
پردازندههای Threadripper 3000 در ماه اکتبر، رایزن ۴۰۰۰ لپتاپها در ماه نوامبر، رایزن ۳۰۰۰ و ۴۰۰۰ دسکتاپ و رایزن ۵۰۰۰ و ۷۰۲۰ لپتاپ نیز در ماه دسامبر بهروزرسانیهای خود را دریافت میکنند. البته اورماندی روشی دستی برای رفع این ایراد را هم توضیح داده است که اثر آن بر عملکرد پردازندهها مشخص نیست.
آسیبپذیری Zenbleed که با نام رسمی CVE-2023-20593 شناخته میشود، بر اثر مدیریت نامناسب دستورالعملی موسوم به vzeroupper در حین اجرای تکنیک Speculative Execution بهوجود میآید که برای بهبود عملکرد تمام پردازندههای مدرن استفاده میشود.
این آسیبپذیری وابسته به سیستمعامل خاصی نیست و روی همه سیستمعاملها قابل بهرهگیری است. بااینحال، از آنجایی که استفاده از Zenbleed به دسترسی محلی به سیستم هدف و اطلاعات فنی بالا وابسته است، احتمالاً بسیاری از کاربران عادی در خطر جدی نخواهند بود. اما درصورت دریافت بهروزرسانی، حتماً آن را نصب کنید.
منبع : دیجیاتو
