看板 PC_Shopping作者 bighta83330 (yusheng)標題 [情報] AMD Zen2的CPU漏洞Zenbleed時間 Tue Jul 25 13:52:07 2023
臉書看HKEPC看到的
想當年intel被A粉狂笑有漏洞買i就是盤子的年代原來結果自己也有洞阿
以下臉書原文
-
外媒報導,Google 安全專家 Tavis Ormandy 公佈了在 AMD 處理器中發現新漏洞
「Zenbleed」、漏洞識別碼為 CVE-2023-20593,該漏洞可以從 CPU 中竊取
受保護的信息,例如加密密鑰和用戶登錄訊息。該攻擊不需要對計算機或服務器
進行物理訪問,甚至可以通過網頁上的 JavaScript 執行,
受影響 CPU 型號包括 EPYC、Ryzen 3000 / 4000 / 5000 等 Zen 2 微架構產品。
MD Zenbleed 漏洞允許以每核每秒 30kb 的速率進行數據洩露(盜竊),
從而提供足夠的吞吐量來竊取流經處理器的敏感訊息。
這種攻擊適用能攻撃處理器上運行的所有軟件,包括了虛擬機、沙盒的進程也能讀取。
這種跨虛擬機讀取數據的攻擊能力,對於雲服務提供商和使用雲實例的人來說
尤其具有威脅。
在 Tavis Ormandy 公佈漏洞後數小時,AMD 亦發表 AMD-SB-7008 公告承認漏洞存在,
受影響處理器全部來自 Zen 2 微架構,AMD 將優先為 EPYC 7002 伺服器處理器提供
AGESA 修正韌體。
消費級型號要到今年 12 月才會提供 ComboAM4v2PI_1.2.0.C AGESA 修正韌體,
當中包括了 Ryzen 3000 / 4000 / 5000、PS5、Xbox Series X 和 S 以及
Steam Deck 中使用的 AMD 處理器也需要更新。
受影響型號名單︰
AMD Ryzen 3000
AMD Ryzen PRO 3000
AMD Ryzen Threadripper 3000
AMD Ryzen 4000 with Radeon Graphics
AMD Ryzen PRO 4000 Processors
AMD Ryzen 5000 with Radeon Graphics
AMD Ryzen 7020 with Radeon Graphics
AMD EPYC 7002
簡單說,只要是 Zen 2 就會有份。
ref:
https://www.facebook.com/hkepc/posts/670487455096490
https://tinyurl.com/5n6th9h7
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.228.140.213 (臺灣)
※ 作者: bighta83330 2023-07-25 13:52:07
※ 文章代碼(AID): #1alsCABP (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1690264330.A.2D9.html
※ 同主題文章:
[情報] AMD Zen2的CPU漏洞Zenbleed
07-25 13:52 bighta83330.
※ 編輯: bighta83330 (125.228.140.213 臺灣), 07/25/2023 13:53:25
→ a58524andy: 所以? 有多少證據說多少話不是?1F 36.233.21.177 台灣 07/25 13:55
→ saimeitetsu: Intel那時候被笑是一群的Meltdown Spectre Foreshadow M2F 223.137.92.189 台灣 07/25 13:55
→ a58524andy: 當年不買i 現在就zen2看有沒有微碼
修或者升級而已4F 36.233.21.177 台灣 07/25 13:55
→ kivan00: 重點在修補漏洞會降低多少效能 i家那一齣被酸是因為特定情況的效能損失可以高達40% 等於逼人提早2到3年換機6F 122.118.4.72 台灣 07/25 14:14
→ spfy: 太激動了吧 看你爽成這樣9F 223.136.218.89 台灣 07/25 14:15
→ Severine: 垃圾intel 害我兩台i7更新後變廢物慢死10F 125.228.248.40 台灣 07/25 14:17
→ zack867: amd zen漏洞這也不是第一次吧? 然後intel被酸是效能掉太多吧11F 118.231.209.75 台灣 07/25 14:28
推 saimeitetsu: 而且是壟斷當時近90%伺服器市場的IO部分最傷13F 223.137.92.189 台灣 07/25 14:29
推 m381249: #AMDYES15F 36.239.79.212 台灣 07/25 14:38
推 kuninaka: 這有什麼好笑
而且會修正,反觀16F 61.227.115.226 台灣 07/25 14:39
→ tomsawyer: 這是新A黑嗎18F 1.200.177.98 台灣 07/25 14:42
推 Klauhal: intel解法是直接關HT效能大爆炸耶19F 223.137.170.166 台灣 07/25 14:43
→ crono0: 當初I我記得不是選漏洞就是選降低效能20F 220.135.213.141 台灣 07/25 14:44
推 yymeow: 當時解法還是有HT,但是的確I/O影響最大21F 60.250.130.216 台灣 07/25 14:44
推 Fezico: 當年牙膏修微碼發現沒法,直接把HT廢惹就直接原地炸裂
不過當年也很多硬要就是,有些要先取得管理員權限才有辦法執行後續動作。但你管理員權限都被攻破惹是在哈囉?22F 39.10.57.5 台灣 07/25 15:23
→ friedpig: 管理權限地記得有些是可以跨VM去要東西27F 118.163.149.125 台灣 07/25 15:30
推 yymeow: 或者是有工程師用管理權限登入console然後開不ok的網頁來看 XD
解法當時有兩個,一個是拖慢偷聽時間,傷I/O但沒徹底解決。徹底解決就是關HT28F 60.250.130.216 台灣 07/25 15:32
推 Tsukasayeo: AMD的SQUIP不是也只能關SMT避免嗎?32F 59.120.196.118 台灣 07/25 15:34
→ yymeow: 不過針對個人用戶其實根本不需要在乎ssh金33F 60.250.130.216 台灣 07/25 15:34
→ Fezico: 當時還有要求物理接入後才能產生的漏洞。34F 118.168.14.172 台灣 07/25 15:35
→ yymeow: 鑰被偷的問題35F 60.250.130.216 台灣 07/25 15:35
→ Fezico: 我就覺得那東西就真的有點硬要惹36F 118.168.14.172 台灣 07/25 15:35
推 yymeow: 從結果來看,這些漏洞在桌上型消費市場的影響就是九代亂七八糟的產品布局
但是真正影響銷售的還是3500X的震撼價格3500X算是把九代中階以下都打死
只剩那個12面體賣得還可以37F 60.250.130.216 台灣 07/25 15:37
推 Fezico: 不過只有還有用超執行緒的一天,漏洞只會多不會少。那東西到底是怎運作的我猜紅軍牙膏八成都還搞不清楚,但it can work。42F 118.168.14.172 台灣 07/25 15:46
推 yymeow: 後面到12代就解掉了不是嗎45F 60.250.130.216 台灣 07/25 15:47
推 Fezico: 我是覺得還沒被發現而已(?)46F 118.168.14.172 台灣 07/25 15:50
推 yymeow: 那Zenbleed也是HT導致的嗎?47F 60.250.130.216 台灣 07/25 15:55
推 s25g5d4: 不是48F 59.127.39.149 台灣 07/25 16:23
推 dou0228: i家被罵是效能降低,然後亂修49F 223.140.173.70 台灣 07/25 16:41
推 comipa: 亂修到被Linux噴爆 也是一絕50F 114.36.254.97 台灣 07/25 16:55
→ iuytjhgf: i每修一次降3% 你看總共修幾次
牙膏倒吸可不是說著玩的51F 61.224.59.171 台灣 07/25 16:56
→ chillwater: xbox該不會有機會被破解了@_@...53F 1.200.104.180 台灣 07/25 17:14
推 croweva: 5000系列有Zen2?54F 1.200.189.50 台灣 07/25 17:23
→ Chikei: 5{3,5,7}00U55F 211.72.92.133 台灣 07/25 17:30
推 ltytw: 影響zen2而已?
野還好56F 114.33.46.227 台灣 07/25 17:38
→ amos30627: 所以7000x3d有影響嗎58F 101.9.113.79 台灣 07/25 17:45
→ qazws931: with Radeon Graphics 應該是apu吧59F 111.248.77.202 台灣 07/25 17:46
推 AmigoSin: 筆電也會有嗎qq 安全更新出來了嗎60F 111.250.180.136 台灣 07/25 18:04
噓 ericinttu: 有自介給堆61F 61.228.28.172 台灣 07/25 18:13
推 jychu1132: 好險我Zen362F 223.136.78.43 台灣 07/25 18:19
→ Chikei: 非EPYC的微碼修正AMD預計年底才會出63F 211.72.92.133 台灣 07/25 18:28
→ ksng1092: 你是不是第二次看到這些漏洞新聞XD
MeltdownSpectre一次,然後Zenbleed一次64F 111.248.38.151 台灣 07/25 19:05
推 saimeitetsu: Foreshadow那時候最嚴重,要關HT,i7直接變i566F 223.137.92.189 台灣 07/25 19:09
→ tomsawyer: smt共用cache以下所有東西是原罪嗎68F 1.200.177.98 台灣 07/25 19:24
推 cancelpc: 那時I一堆CPU差個HT就不同級,關了直接降級。69F 180.217.31.95 台灣 07/25 19:29
推 assotr: 恭喜 終於在2023年找到2019年發售U的漏洞71F 116.89.130.162 台灣 07/25 19:38
噓 km612tw: 笑死 Zen 2都進回收廠了才報72F 220.135.132.105 台灣 07/25 20:19
→ commandoEX: AMD 今年還有zen2的U在出啊
那個R5 7520U還熱著呢73F 118.171.138.158 台灣 07/25 20:24
推 Fezico: 樓上那個就是命名的藝術惹,顆顆。75F 118.168.14.172 台灣 07/25 20:35
推 kaj1983: zen2過氣都多久了,zen4有洞再出來酸啦76F 36.238.103.3 台灣 07/25 20:52
推 zsp40773: A粉都換zen4了啦 一般用戶741477F 1.172.239.162 台灣 07/25 21:40
→ NetsFan: 不是重命名啊 還用6nm新製程78F 123.192.88.123 台灣 07/25 21:51
推 Eternalwing: 5600G有中嗎?79F 125.229.24.110 台灣 07/25 22:26
推 amy79968: 確定不是終於停產可以報了嗎80F 111.241.211.111 台灣 07/25 22:53
→ sarzty: 5600G是ZEN3"Cezanne" 不是行動平台在用的ZEN2"Lucienne" AMD文件有標明 內文拿掉了81F 220.137.92.200 台灣 07/25 23:11
推 triplezeta: 遊戲機的Zen2躲過了?
重看內文看到了83F 111.255.228.33 台灣 07/26 01:04
推 wonder007: 每秒30kb耶感覺這洞比intel的洞實用多了
這麼晚才爆戰amd未來都是真的85F 42.72.199.73 台灣 07/26 05:44
--