【悲報】なんG公認CPU「Zen2」に脆弱性。今すぐ買い替えろ!
■ このスレッドは過去ログ倉庫に格納されています
Zen 2コアに脆弱性。修正は2023年10月以降
AMDは、Zen 2コアのCPUのレジスタに、正しく0が書き込まれない不具合があり、攻撃者が別のプロセスやスレッドからYMMレジスタに保存された機密情報などを読める脆弱性があると発表した。AMDは「AMD-SB-7008」、共通脆弱性識別子は「CVE-2023-20593」として割り当てられた。
深刻性は「中」とされており、BIOSアップデートを通したAGESAファームウェアの更新で対処する。データセンター向けの第2世代EPYCプロセッサはμコード0x0830107A、AGESA RomePI 1.0.0.Hで修正を行なうほか、デスクトップやハイエンドデスクトップは10月以降の配布を予定している。
この脆弱性は「Zenbleed」と名付けられており、Google Information SecurityのTavis Ormandy氏のファジングによって発見され、5月15日にAMDに対して報告された。対処まではDE_CFG[9]というチキンビットを設定すれば回避できるが、性能に影響を与える可能性がある。
https://pc.watch.impress.co.jp/docs/news/1518766.html この脆弱性の影響を受けるCPUは以下。
AMD Ryzen 3000 Series Processors
AMD Ryzen PRO 3000 Series Processors
AMD Ryzen Threadripper 3000 Series Processors
AMD Ryzen 4000 Series Processors with Radeon Graphics
AMD Ryzen PRO 4000 Series Processors
AMD Ryzen 5000 Series Processors with Radeon Graphics
AMD Ryzen 7020 Series Processors with Radeon Graphics
AMD EPYC Rome Processors AMDが情報を公開しました。AMDによると、以下の予定(目標)で脆弱性を修正したAGESAをマザーボードメーカーやOEMにリリースするとのこと。
Ryzen 3000シリーズデスクトップCPU: 2023年12月頃
Ryzen 4000シリーズデスクトップCPU: 2023年12月頃
Threadripper 3000シリーズ: 2023年10月頃
Threadripper PRO 3000WXシリーズ: 2023年11~12月頃
Ryzen 4000シリーズモバイルCPU: 2023年11月頃
Ryzen 5000シリーズモバイルCPU: 2023年12月頃
Ryzen 7020シリーズモバイルCPU: 2023年12月頃
EPYC 7002シリーズ(Rome): リリース済み
EPYC 7002シリーズ用の修正はリリースされましたが、そのほかは大分遅く、2023年10~12月頃とのこと。なお、上記はAGESAのリリース予定のため、マザーボードメーカーやOEMから修正BIOSとしてリリースされるのはさらに先になるでしょう。
また、追加情報として、AMDはパフォーマンスへの影響について「パフォーマンスへの影響は、ワークロードやシステム構成によって異なります」とTom’s Hardwareに回答しました。具体的にどれくらいの影響があるのかは明言されていませんが、少なからず影響がある模様です。 AMD製CPUにデータを盗み取られる脆弱性「Zenbleed」が存在することが判明、仮想マシンやコンテナも関係なくデータ窃取可能
AMD製CPUに攻撃者がデータを読み取れる脆弱(ぜいじゃく)性「Zenbleed(CVE-2023-20593)」が存在することが明らかになりました。影響を受けるCPUは「Zen2アーキテクチャ」を採用したモデルで、攻撃者は1コア当たり毎秒30kbのデータを取得可能とされています。
「1コア当たり毎秒30kb」という速度はユーザーのIDやパスワードを盗み出すのに十分な速さだと、オーマンディ氏は指摘。さらに、ZenbleedはOSに関係なく影響を及ぼし、仮想マシンやサンドボックス、コンテナによる保護も意味を成さないとのこと。
https://article.auone.jp/detail/1/3/7/48_7_r_20230725_1690256103673334 ■ このスレッドは過去ログ倉庫に格納されています
