帖子内容
【注意 ⚠️】外媒報導,Google 安全專家 Tavis Ormandy 公佈了在 AMD 處理器中發現新漏洞「Zenbleed」、漏洞識別碼為 CVE-2023-20593,該漏洞可以從 CPU 中竊取受保護的信息,例如加密密鑰和用戶登錄訊息。該攻擊不需要對計算機或服務器進行物理訪問,甚至可以通過網頁上的 JavaScript 執行,受影響 CPU 型號包括 EPYC、Ryzen 3000 / 4000 / 5000 等 Zen 2 微架構產品。 AMD Zenbleed 漏洞允許以每核每秒 30kb 的速率進行數據洩露(盜竊),從而提供足夠的吞吐量來竊取流經處理器的敏感訊息。這種攻擊適用能攻撃處理器上運行的所有軟件,包括了虛擬機、沙盒的進程也能讀取。這種跨虛擬機讀取數據的攻擊能力,對於雲服務提供商和使用雲實例的人來說尤其具有威脅。 在 Tavis Ormandy 公佈漏洞後數小時,AMD 亦發表 AMD-SB-7008 公告承認漏洞存在,受影響處理器全部來自 Zen 2 微架構,AMD 將優先為 EPYC 7002 伺服器處理器提供 AGESA 修正韌體。 消費級型號要到今年 12 月才會提供 ComboAM4v2PI_1.2.0.C AGESA 修正韌體,當中包括了 Ryzen 3000 / 4000 / 5000、PS5、Xbox Series X 和 S 以及 Steam Deck 中使用的 AMD 處理器也需要更新。 ⭕️受影響型號名單︰ ◾️AMD Ryzen 3000 ◾️AMD Ryzen PRO 3000 ◾️AMD Ryzen Threadripper 3000 ◾️AMD Ryzen 4000 with Radeon Graphics ◾️AMD Ryzen PRO 4000 Processors ◾️AMD Ryzen 5000 with Radeon Graphics ◾️AMD Ryzen 7020 with Radeon Graphics ◾️AMD EPYC 7002 簡單說,只要是 Zen 2 就會有份。