O que você precisa saber
- O bug ‘Zenbleed’ atinge especificamente a linha Zen 2 da AMD.
- O bug pode vazar dados do usuário em alguns casos.
- Nenhuma correção está chegando até o quarto trimestre deste ano.
Ontem, um pesquisador do Google Information Security chamado Tavis Ormandy fez uma postagem em seu blog sobre uma vulnerabilidade não identificada anteriormente que ele descobriu estar afetando os processadores Zen 2 da AMD. Esta é uma vulnerabilidade muito grande que inclui toda a linha Zen 2. Isso significa que os Ryzen 2000/3000//4000/5000/7020 foram atingidos, assim como os processadores de data center EPYC “Rome”.
Este bug permite o roubo de informações no processador. Isso incluiria logins de usuários e chaves de criptografia. Observe que isso não requer acesso físico a um computador ou sistema de servidor. O acesso pode ser obtido por meio de uma página da Web usando javascript, por exemplo, e pode vazar cerca de 30kb por núcleo, por segundo. A AMD avalia isso como um problema de gravidade média.
A AMD explicou em termos diretos como esse processo realmente funciona:
Tavis Ormandy observa que alertou a AMD sobre essa vulnerabilidade ‘Zenbleed’ em 15 de maio de 2023 e que a AMD já lançou uma atualização de microcódigo para os processadores afetados. Os fornecedores de BIOS ou sistema operacional podem já ter uma atualização disponível que inclua esta atualização de microcódigo. Vale a pena notar que também existe a possibilidade de que isso incorra em um custo de desempenho.
A correção é principalmente para os processadores EPYC “Rome” da AMD, que acabaram de ser lançados. Os consumidores de Ryzen 2000/3000//4000/5000/7020 infelizmente terão que esperar muito mais, com correções programadas para novembro/dezembro, no mínimo. Tavis faz fornecer uma solução alternativa de software para aqueles incapazes de aplicar a atualização do microcódigo.