| Автор |
Сообщение |
Новости ®
Вольный ветер
Стаж: 19 лет 8 мес.
Сообщений: 6516
Ratio: 25.216
Поблагодарили: 13435
100%
|
Тэвис Орманди (Tavis Ormandy), исследователь из Google Information Security, сообщил сегодня о новой уязвимости, которую он обнаружил в процессорах AMD с архитектурой Zen 2. Уязвимость Zenbleed охватывает весь ассортимент чипов на Zen 2 и позволяет украсть защищённую информацию, включая ключи шифрования и логины пользователей. Атака не требует физического доступа к компьютеру и может быть выполнена даже через вредоносный JS-скрипт на веб-странице.
Орманди сообщил об этой проблеме в AMD 15 мая 2023 года. По его словам, AMD уже выпустила патчи для уязвимых систем, но эксперты пока не подтвердили наличие в последних выпущенных прошивках нужных исправлений. Также пока отсутствуют рекомендации по безопасности от AMD с подробным описанием проблемы. Компания обещала опубликовать эту информацию сегодня, но пока не прокомментировала статус исправлений.
Уязвимость зарегистрирована как CVE-2023-20593 и позволяет осуществлять кражу данных со скоростью 30 Кбайт на ядро в секунду, что обеспечивает достаточную пропускную способность для кражи конфиденциальной информации, проходящей через процессор. Эта атака работает со всем программным обеспечением, запущенным на процессоре, включая виртуальные машины, песочницы, контейнеры и процессы. Способность этой атаки считывать данные между виртуальными машинами особенно опасна для поставщиков и пользователей облачных услуг.
По словам Орманди, затронуты все процессоры Zen 2, включая серверные EPYC Rome:
- Процессоры AMD Ryzen 3000;
- Процессоры AMD Ryzen PRO 3000;
- Процессоры AMD Ryzen Threadripper 3000;
- Процессоры AMD Ryzen 4000 с графикой Radeon;
- Процессоры AMD Ryzen PRO 4000;
- Процессоры AMD Ryzen 5000 с графикой Radeon;
- Процессоры AMD Ryzen 7020 с графикой Radeon;
- Процессоры AMD EPYC Rome.
Атака может быть осуществлена посредством выполнения непривилегированного произвольного кода. Орманди опубликовал репозиторий исследований безопасности и код эксплойта. При атаке используется функция оптимизации слияния XMM регистра с последующим его переименованием. В результате происходит ошибка предсказания vzeroupper. Основные операции, такие как strlen, memcpy и strcmp, будут использовать векторные регистры, поэтому злоумышленник может эффективно отслеживать эти операции, происходящие в любом месте системы, неважно, в других виртуальных машинах, песочницах, контейнерах или процессах.
«Это работает, потому что регистровый файл используется всеми на одном физическом ядре. На самом деле два гиперпотока даже используют один и тот же файл физического регистра», — говорит Орманди. Он пояснил, что ошибка может быть исправлена с помощью патчей, но это может привести к снижению производительности, поэтому Орманди настоятельно рекомендует обновить микрокод. Доступность обновлённых прошивок пока официально не подтверждена. Источник |
_________________ Включение указателя поворота заранее, действительно помогает другим водителям понять,
в каком направлении вы собираетесь двигаться, и делает вождение безопаснее для всех.
|
|
 |
sailorxakep
Стаж: 13 лет 5 мес.
Сообщений: 803
Ratio: 40.274
Раздал: 9.491 TB
Поблагодарили: 514
100%
Откуда: с корабля Куда: на бал
|
Не покидает ощущение, что все эти "уязвимости" являются изначально заложенными. Как только падают продажи, так сразу обнаруживается критическая уязвимость, которую, конечно же, закрыть можно, но это приведёт к снижению производительности. А потому надо приобрести новую модель железки, где этой уязвимости нет. И не важно кто производитель - Intel, AMD и пр. - все действуют по одному сценарию. |
|
|
 |
GrayWolFX
Стаж: 15 лет 7 мес.
Сообщений: 231
Ratio: 0.9
100%
Откуда: __ :адуктО
|
Всё дырявое на этом Белом Свете, вернее имеет отверстия  ! |
|
|
 |
Ar0visTM
Стаж: 13 лет 4 мес.
Сообщений: 616
Ratio: 17.381
17.38%
|
| Цитата: | Он пояснил, что ошибка может быть исправлена с помощью патчей, но это может привести к снижению производительности |
Классика |
|
|
 |
haos2100
Стаж: 15 лет 9 мес.
Сообщений: 185
Ratio: 14.178
5.37%
|
И почему я больше не удивляюсь подобным новостям? |
|
|
 |
dedSerduk
Uploader 500+
Стаж: 19 лет 2 мес.
Сообщений: 400
Ratio: 96.676
Раздал: 739.9 TB
Поблагодарили: 527
100%
|
Самое время заставить всех перейти на новые) |
|
|
 |
ADV357
Стаж: 7 лет
Сообщений: 45
Ratio: 3.421
2.17%
|
Писали ли бы проще! Если у Вас проц дешевле 600 бачинских то, они уязвимы и скоро сдохнут! Необходимо купить проц за 1200 Бачей....  |
|
|
 |
ElMarado
Стаж: 12 лет
Сообщений: 509
Ratio: 219.598
Поблагодарили: 1053
100%
|
Смешали мухи и котлеты. В заголовке написано | Цитата: | Во всех чипах AMD на Zen 2 нашли уязвимость, которая позволяет удалённо воровать пароли и другую информацию |
а в тексте новости | Цитата: | Уязвимость Zenbleed охватывает весь ассортимент чипов на Zen 2 и позволяет украсть защищённую информацию, включая ключи шифрования и логины пользователей. |
Вы уж там определитесь, что именно он там может красть: "котлеты" или "мухи"? |
|
|
 |
seraphic89
Стаж: 13 лет 6 мес.
Сообщений: 67
Ratio: 2.056
25.6%
Откуда: ДНР
|
Фик с ним, многие и защитника стараются выпиливать |
|
|
 |
Solar81
Стаж: 13 лет 8 мес.
Сообщений: 507
Ratio: 13.797
51.88%
|
sailorxakep писал(а):  | Не покидает ощущение, что все эти "уязвимости" являются изначально заложенными. |
Так и есть. Это не уязвимость, а заботливо заложенный бэкдор. sailorxakep писал(а):  | Как только падают продажи, так сразу обнаруживается критическая уязвимость, которую, конечно же, закрыть можно, но это приведёт к снижению производительности.
|
Всё на много прозаичнее. Бэкдоры делаются для спецслужб. То, что вы написали оно может быть, но вторично относительно основной задачи. |
|
|
 |
potatoddas
Стаж: 9 лет 3 мес.
Сообщений: 495
Ratio: 36.208
Раздал: 43.3 TB
Поблагодарили: 2699
100%
|
|
 |
araick
Стаж: 16 лет 9 мес.
Сообщений: 981
Ratio: 2.648
99.53%
|
Теперь я понял почему не уровне интиуиции не люблю процессоры АМД. Только видео ))
AMDэшники негодуют, заминусовали школьники ))))))) |
|
|
 |
Spamyk
Uploader 100+
Стаж: 14 лет 6 мес.
Сообщений: 1318
Ratio: 510.615
Раздал: 241.1 TB
0%
|
Как раз ам5 немного обгадился с 7000 райзеном. Да и 5600х3д вроде обещают. Мол пора обновляться  )) |
_________________
|
|
 |
strelok-2007
Стаж: 14 лет 11 мес.
Сообщений: 19
Ratio: 202.941
100%
|
Являюсь счастливой обладательницей 7700X, на замену 1700) Пока можно не беспокоиться) |
|
|
 |
mike0130
Стаж: 16 лет 9 мес.
Сообщений: 126
Ratio: 7.516
2.04%
|
Вот что мне интересно, так это сколько телодвижений надо, дабы добыть заветный пассворд. А добыв его, где оный использовать. Вот у меня всего один комп на стареньком 16-ти ядерном тредриппере... ломай не хочу. Остальное на интелах разного "возраста" и 3 мак-а на арм-ах. Вопрос в студию: кого ломать будут и главное-зачем? Ради коллекции крякнутого софта или набора видео с голыми бабами? А может кому-то надо 25 гиг песен на русском? А может мои фотки с Мексики Кубы и Арубы? Видеоклипы, что я намонтировал за последние 10 лет? Нет, серьезно, пусть не мучаются, попросят по почте- бесплатно отдам.  |
|
|
 |
|
|