谷歌安全研究人员最近公布了令人震惊的新Zenbleed漏洞，该漏洞暴露了通过 AMD Zen 2 处理器的最敏感信息，例如加密密钥和用户登录信息，从而使攻击者能够窃取数据并完全破坏系统。我们了解了一种可以修补该问题的解决方法，尽管该修复不会通过重新启动而持续存在，但它使我们能够运行一系列测试来确定启用修补程序对性能的影响，AMD 将在近期发布该修补程序未来。

我们的测试显示，某些工作负载(例如编码器和渲染器)可能会遭受高达约 15% 的性能损失，而其他类型的桌面 PC 应用程序要么不受影响，要么甚至在修补后性能会略有上升。不过，那些只专注于游戏的人可以松一口气，因为我们的测试没有发现几款游戏有任何明显的性能损失。

Zenbleed缺陷(CVE-2023-20593)跨越整个Zen 2产品堆栈，包括AMD的EPYC数据中心处理器和相关的Ryzen 3000/4000/5000 CPU，但AMD仅为其数据中心芯片发布了基于官方固件的补丁。受影响的台式电脑 Ryzen 芯片要到 11 月到 12 月的时间范围内才会收到固件补丁，具体取决于型号(此处的时间表)，从而使用户在此期间可能面临攻击者的威胁。

与最危险的漏洞一样，Zenbleed 利用了芯片架构中的固有缺陷，因此除非通过已知的恶意软件进行攻击，否则恶意软件扫描程序或其他传统检测方法将无法检测到直接攻击。AMD 在披露时表示，它并不知道该漏洞正在被利用，但该声明并不太让人感到安慰——该漏洞的本质意味着攻击是无法检测到的;该芯片按照设计工作，但有一个缺陷。

发现该漏洞的 Google 信息安全研究员 Tavis Ormandy 还发布了POC(演示漏洞利用的概念验证代码)该文件可免费下载，这意味着可以想象，不法分子可能使用这种方法发起了攻击。AMD 表示该问题是可以修复的，但固件补丁将导致尚未确定的性能下降，具体情况因工作负载而异。