7 月 25 日音讯,谷歌信息安全研究员 Tavis Ormandy 今天发布博文,表明根据 Zen 2 的 AMD 处理器中发现了新的安全缝隙,并将其命名为 Zenbleed。
Ormandy 表明一切根据 Zen 2 的 AMD 处理器均受到影响,黑客能够使用该缝隙,窃取加密密钥和用户登录凭据等受到保护的信息。
Ormandy 表明黑客不需要物理访问计算机,能够通过网页上的恶意 JS 脚本履行。
Ormandy 于 2023 年 5 月 15 日向 AMD 报告了该问题,AMD 官方已经发布了有针对性的补丁,Ormandy 并未承认新版固件是否已彻底修正该缝隙。
该缝隙追踪编号为 CVE-2023-20593,能以每核心每秒 30KB 的速度窃取机密数据。此进犯会影响 CPU 上运行的一切软件,包含虚拟机、沙箱、容器和进程。
在此附上受影响的 Zen 2 处理器清单:
AMD Ryzen 3000 系列处理器;
AMD Ryzen PRO 3000 系列处理器;
AMD Ryzen Threadripper 3000 系列处理器;
带 Radeon 集显的 AMD Ryzen 4000 系列处理器;
AMD Ryzen PRO 4000 系列处理器;
带 Radeon 集显的 AMD Ryzen 5000 系列处理器;
带 Radeon 集显的 AMD Ryzen 7020 系列处理器;
AMD EPYC Rome 系列处理器。
