谷歌安全研究人员最近公布了令人震惊的新Zenbleed漏洞,该漏洞暴露了通过 AMD Zen 2 处理器的最敏感信息,例如加密密钥和用户登录信息,从而使攻击者能够窃取数据并完全破坏系统。我们了解了一种可以修补该问题的解决方法,尽管该修复不会通过重新启动而持续存在,但它使我们能够运行一系列测试来确定启用修补程序对性能的影响,AMD 将在近期发布该修补程序未来。
我们的测试显示,某些工作负载(例如编码器和渲染器)可能会遭受高达约 15% 的性能损失,而其他类型的桌面 PC 应用程序要么不受影响,要么甚至在修补后性能会略有上升。不过,那些只专注于游戏的人可以松一口气,因为我们的测试没有发现几款游戏有任何明显的性能损失。
Zenbleed缺陷(CVE-2023-20593)跨越整个Zen 2产品堆栈,包括AMD的EPYC数据中心处理器和相关的Ryzen 3000/4000/5000 CPU,但AMD仅为其数据中心芯片发布了基于官方固件的补丁。受影响的台式电脑 Ryzen 芯片要到 11 月到 12 月的时间范围内才会收到固件补丁,具体取决于型号(此处的时间表),从而使用户在此期间可能面临攻击者的威胁。
与最危险的漏洞一样,Zenbleed 利用了芯片架构中的固有缺陷,因此除非通过已知的恶意软件进行攻击,否则恶意软件扫描程序或其他传统检测方法将无法检测到直接攻击。AMD 在披露时表示,它并不知道该漏洞正在被利用,但该声明并不太让人感到安慰——该漏洞的本质意味着攻击是无法检测到的;该芯片按照设计工作,但有一个缺陷。
发现该漏洞的 Google 信息安全研究员 Tavis Ormandy 还发布了POC(演示漏洞利用的概念验证代码)该文件可免费下载,这意味着可以想象,不法分子可能使用这种方法发起了攻击。AMD 表示该问题是可以修复的,但固件补丁将导致尚未确定的性能下降,具体情况因工作负载而异。