最近,一名网络安全研究人员在 AMD 的 Zen 2 处理器中发现了一个危险漏洞。该漏洞被称为“Zenbleed”,允许攻击者访问您的计算机并窃取所有最敏感的信息,包括密码和加密密钥。虽然这不会影响AMD 最好的处理器,但它仍然是一个影响范围广泛的危险漏洞,因为它存在于所有 Zen 2 CPU 中,包括消费类芯片和数据中心 EPYC 处理器。 AMD 即将推出解决方案,但可能会付出一定的代价。
该漏洞最先由谷歌信息安全部研究员 Tavis Ormandy 发现,并于 7 月底将其公开。此后,研究人员还发布了概念验证代码,展示了其工作原理。这虽然有用,但可能会帮助攻击者利用此漏洞,直到 AMD 提出修复方案。
虽然第一个补丁已经发布,但大多数消费者最多需要等到 11 月和 12 月,而目前还没有好的解决方案。 Tom's Hardware 测试了当前消费级处理器可用的唯一选项,即 软件补丁,只会持续到您重新启动 PC 为止。
Tom's Hardware 尝试了软件解决方案,以了解可能的修复对性能的影响有多大,结果不是很好,但也可能更糟。游戏玩家几乎不受影响,因此如果您在游戏 PC 中使用 CPU,您可以高枕无忧。然而,生产力应用程序在许多工作负载中都会受到影响,性能下降从 1% 到 16% 不等,具体取决于软件。
Zenbleed 利用 Zen 2 芯片中的缺陷以每核 30kb 的速率提取数据,因此处理器越好,提取速度就越快。这种攻击会影响处理器上运行的各种软件,包括虚拟机和沙箱。考虑到它会影响在数据中心运行的 AMD EPYC CPU,它可以从虚拟机窃取数据这一事实尤其令人担忧。
AMD 认为 Zenbleed 的严重程度为中等,对该缺陷的描述如下:“在特定的微架构环境下,“Zen 2”CPU 中的寄存器可能无法正确写入 0。这可能会导致来自另一个进程和/或线程的数据存储在 YMM 寄存器中,这可能允许攻击者访问敏感信息。”
值得注意的是,AMD 并不是唯一一家在其旧芯片上对抗此类漏洞的公司。例如,英特尔最近一直在处理Downfall bug ,可能的修复导致的性能下降非常严重,高达 36%。
不管技术细节如何,任何允许黑客窃取存储在 PC 中的几乎所有信息的缺陷听起来都足够危险,特别是如果它可以在不被发现的情况下做到这一点——Zenbleed 可以做到。不幸的是,Zen 2 用户将不得不在让自己受到 Zenbleed 的影响和牺牲一些性能以保持安全之间做出选择,除非 AMD 能够及时解决这些问题。