| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 3 мес.
Сообщений: 5528
Ratio: 25.234
Поблагодарили: 13343
100%
|
Тэвис Орманди (Tavis Ormandy), исследователь из Google Information Security, сообщил сегодня о новой уязвимости, которую он обнаружил в процессорах AMD с архитектурой Zen 2. Уязвимость Zenbleed охватывает весь ассортимент чипов на Zen 2 и позволяет украсть защищённую информацию, включая ключи шифрования и логины пользователей. Атака не требует физического доступа к компьютеру и может быть выполнена даже через вредоносный JS-скрипт на веб-странице.
Орманди сообщил об этой проблеме в AMD 15 мая 2023 года. По его словам, AMD уже выпустила патчи для уязвимых систем, но эксперты пока не подтвердили наличие в последних выпущенных прошивках нужных исправлений. Также пока отсутствуют рекомендации по безопасности от AMD с подробным описанием проблемы. Компания обещала опубликовать эту информацию сегодня, но пока не прокомментировала статус исправлений.
Уязвимость зарегистрирована как CVE-2023-20593 и позволяет осуществлять кражу данных со скоростью 30 Кбайт на ядро в секунду, что обеспечивает достаточную пропускную способность для кражи конфиденциальной информации, проходящей через процессор. Эта атака работает со всем программным обеспечением, запущенным на процессоре, включая виртуальные машины, песочницы, контейнеры и процессы. Способность этой атаки считывать данные между виртуальными машинами особенно опасна для поставщиков и пользователей облачных услуг.
По словам Орманди, затронуты все процессоры Zen 2, включая серверные EPYC Rome:
- Процессоры AMD Ryzen 3000;
- Процессоры AMD Ryzen PRO 3000;
- Процессоры AMD Ryzen Threadripper 3000;
- Процессоры AMD Ryzen 4000 с графикой Radeon;
- Процессоры AMD Ryzen PRO 4000;
- Процессоры AMD Ryzen 5000 с графикой Radeon;
- Процессоры AMD Ryzen 7020 с графикой Radeon;
- Процессоры AMD EPYC Rome.
Атака может быть осуществлена посредством выполнения непривилегированного произвольного кода. Орманди опубликовал репозиторий исследований безопасности и код эксплойта. При атаке используется функция оптимизации слияния XMM регистра с последующим его переименованием. В результате происходит ошибка предсказания vzeroupper. Основные операции, такие как strlen, memcpy и strcmp, будут использовать векторные регистры, поэтому злоумышленник может эффективно отслеживать эти операции, происходящие в любом месте системы, неважно, в других виртуальных машинах, песочницах, контейнерах или процессах.
«Это работает, потому что регистровый файл используется всеми на одном физическом ядре. На самом деле два гиперпотока даже используют один и тот же файл физического регистра», — говорит Орманди. Он пояснил, что ошибка может быть исправлена с помощью патчей, но это может привести к снижению производительности, поэтому Орманди настоятельно рекомендует обновить микрокод. Доступность обновлённых прошивок пока официально не подтверждена.
Источник |
|
|
|
Советуем установить VPN чтобы скрыть Ваш IP-адрес |
sailorxakep
Стаж: 11 лет 11 мес.
Сообщений: 749
Ratio: 40.226
Раздал: 9.471 TB
Поблагодарили: 510
100%
Откуда: с корабля Куда: на бал
|
Не покидает ощущение, что все эти "уязвимости" являются изначально заложенными. Как только падают продажи, так сразу обнаруживается критическая уязвимость, которую, конечно же, закрыть можно, но это приведёт к снижению производительности. А потому надо приобрести новую модель железки, где этой уязвимости нет. И не важно кто производитель - Intel, AMD и пр. - все действуют по одному сценарию. |
|
|
 |
GrayWolFX
Стаж: 14 лет 1 мес.
Сообщений: 152
Ratio: 1.044
100%
Откуда: __ :адуктО
|
Всё дырявое на этом Белом Свете, вернее имеет отверстия  ! |
|
|
|
|
Ar0visTM
Стаж: 11 лет 10 мес.
Сообщений: 600
Ratio: 19.112
18.92%
|
| Цитата: | Он пояснил, что ошибка может быть исправлена с помощью патчей, но это может привести к снижению производительности |
Классика |
|
|
|
|
haos2100
Стаж: 14 лет 3 мес.
Сообщений: 182
Ratio: 16.537
5.65%
|
И почему я больше не удивляюсь подобным новостям? |
|
|
|
|
dedSerduk
Uploader 500+
Стаж: 17 лет 9 мес.
Сообщений: 340
Ratio: 109.185
Раздал: 723.5 TB
Поблагодарили: 518
100%
|
Самое время заставить всех перейти на новые) |
|
|
|
|
ADV357
Стаж: 5 лет 7 мес.
Сообщений: 45
Ratio: 3.421
2.2%
|
Писали ли бы проще! Если у Вас проц дешевле 600 бачинских то, они уязвимы и скоро сдохнут! Необходимо купить проц за 1200 Бачей....  |
|
|
|
|
ElMarado
Стаж: 10 лет 6 мес.
Сообщений: 385
Ratio: 130.241
Раздал: 114.5 TB
Поблагодарили: 462
100%
|
Смешали мухи и котлеты. В заголовке написано | Цитата: | Во всех чипах AMD на Zen 2 нашли уязвимость, которая позволяет удалённо воровать пароли и другую информацию |
а в тексте новости | Цитата: | Уязвимость Zenbleed охватывает весь ассортимент чипов на Zen 2 и позволяет украсть защищённую информацию, включая ключи шифрования и логины пользователей. |
Вы уж там определитесь, что именно он там может красть: "котлеты" или "мухи"? |
|
|
|
|
seraphic89
Стаж: 12 лет 1 мес.
Сообщений: 67
Ratio: 2.136
26.45%
Откуда: ДНР
|
Фик с ним, многие и защитника стараются выпиливать |
|
|
|
|
Solar81
Стаж: 12 лет 2 мес.
Сообщений: 483
Ratio: 11.194
50.93%
|
sailorxakep писал(а):  | Не покидает ощущение, что все эти "уязвимости" являются изначально заложенными. |
Так и есть. Это не уязвимость, а заботливо заложенный бэкдор. | sailorxakep писал(а): |
Как только падают продажи, так сразу обнаруживается критическая уязвимость, которую, конечно же, закрыть можно, но это приведёт к снижению производительности.
|
Всё на много прозаичнее. Бэкдоры делаются для спецслужб. То, что вы написали оно может быть, но вторично относительно основной задачи. |
|
|
|
|
potatoddas
Стаж: 7 лет 9 мес.
Сообщений: 381
Ratio: 33.5
Поблагодарили: 2027
5.71%
|
|
|
|
araick
Стаж: 15 лет 4 мес.
Сообщений: 981
Ratio: 2.648
99.53%
|
Теперь я понял почему не уровне интиуиции не люблю процессоры АМД.
Только видео ))
AMDэшники негодуют, заминусовали школьники ))))))) |
|
|
|
|
Spamyk
Uploader 100+
Стаж: 13 лет 1 мес.
Сообщений: 1317
Ratio: 510.544
Раздал: 241 TB
0%
|
Как раз ам5 немного обгадился с 7000 райзеном. Да и 5600х3д вроде обещают. Мол пора обновляться  )) |
_________________
|
|
|
|
strelok-2007
Стаж: 13 лет 5 мес.
Сообщений: 19
Ratio: 192.583
100%
|
Являюсь счастливой обладательницей 7700X, на замену 1700) Пока можно не беспокоиться) |
|
|
|
|
mike0130
Стаж: 15 лет 3 мес.
Сообщений: 123
Ratio: 7.941
2.01%
|
Вот что мне интересно, так это сколько телодвижений надо, дабы добыть заветный пассворд. А добыв его, где оный использовать. Вот у меня всего один комп на стареньком 16-ти ядерном тредриппере... ломай не хочу. Остальное на интелах разного "возраста" и 3 мак-а на арм-ах. Вопрос в студию: кого ломать будут и главное-зачем? Ради коллекции крякнутого софта или набора видео с голыми бабами? А может кому-то надо 25 гиг песен на русском? А может мои фотки с Мексики Кубы и Арубы? Видеоклипы, что я намонтировал за последние 10 лет? Нет, серьезно, пусть не мучаются, попросят по почте- бесплатно отдам.  |
|
|
|
|
|
|
