Sårbarheten kan användas för att stjäla känslig information som lösenord och krypteringsnycklar och kan utföras på distans. Googles säkerhetsforskare Tavis Ormand rapporterade Zenbleed (CVE-2023-20593) till AMD den 15 maj innan han offentliggjorde detaljerna i veckan. Likt tidigare attacker som Spectre och Meltdown, utnyttjar Zenbleed exekveringsteknik som används för att optimera prestanda hos moderna processorer, detta skriver Techspot.
Zenbleed fungerar genom att manipulera registerfilerna för att framkalla felaktiga förutsägelser och möjliggör övervakning av vissa operationer, som strlen, memcpy och strcmp, vilket kan ge obehörig åtkomst till känslig information.
Vad som gör det extra oroande är att attacken kan utföras på distans genom att utnyttja Javascript på en webbplats, vilket innebär att en angripare inte behöver fysisk tillgång till datorn eller servern. Den kan också stjäla data från alla program som körs på systemet, inklusive virtuella maskiner och processer.
AMD har släppt en uppdatering för sina andra generationens Epyc 7002-processorer, men uppdateringarna för övriga Zen 2-processorer förväntas komma mellan oktober och december.
För att skydda sig mot Zenbleed rekommenderar Tavis Ormand användare av Zen 2-processorer att installera AMD:s kommande mikroprogramsuppdatering.
Av: Petter Ahrnstedt, Macworldredaktör
Redaktör