Zen 2コアに脆弱性。修正は2023年10月以降

AMDは、Zen 2コアのCPUのレジスタに、正しく0が書き込まれない不具合があり、攻撃者が別のプロセスやスレッドからYMMレジスタに保存された機密情報などを読める脆弱性があると発表した。AMDは「AMD-SB-7008」、共通脆弱性識別子は「CVE-2023-20593」として割り当てられた。

深刻性は「中」とされており、BIOSアップデートを通したAGESAファームウェアの更新で対処する。データセンター向けの第2世代EPYCプロセッサはμコード0x0830107A、AGESA RomePI 1.0.0.Hで修正を行なうほか、デスクトップやハイエンドデスクトップは10月以降の配布を予定している。

この脆弱性は「Zenbleed」と名付けられており、Google Information SecurityのTavis Ormandy氏のファジングによって発見され、5月15日にAMDに対して報告された。対処まではDE_CFG[9]というチキンビットを設定すれば回避できるが、性能に影響を与える可能性がある。

https://pc.watch.impress.co.jp/docs/news/1518766.html