Zen 2、Ryzen 3000シリーズなどに新たな脆弱性『Zenbleed』。情報漏えいの恐れ。1コアあたり30KB/sでデータを窃取 [Update 1]
AMD Ryzen 3000シリーズやThreadripper 3000シリーズなどのZen 2アーキテクチャCPUに『Zenbleed』と呼ばれる新たな脆弱性が見つかり、その情報が公開されました。海外メディアのTom’s Hardwareが報じました。
AMD Zen 2プロセッサーに『Zenbleed』(CVE-2023-20593)と呼ばれる新たな脆弱性が見つかった。この脆弱性を発見したのはGoogle Information Securityの研究者であるTavis Ormandy氏。Ormandy氏はこの脆弱性を2023年5月15日にAMDに報告したという。そして、本日、Ormandy氏はその情報を公開した。 Ormandy氏によると、『Zenbleed』を悪用されると、暗号化キーやログイン時に使用されるパスワードなど、保護された情報をCPUから窃取される恐れがあるという。 攻撃には物理的なアクセスを必要とせず、WebページのJavaScriptを介して行うことができる。また、1コアあたり秒間約30KBのデータを窃取できる。情報を窃取するには十分なスループットだ。 この脆弱性の影響を受けるCPUは以下。
すべてのZen 2 CPUが影響を受ける。 Ormandy氏は、BIOS・マイクロコードのアップデートを入手することを強く推奨しているが、それがいつ入手できるようになるのかは不明だ。 本脆弱性についてAMDに詳細を問い合わせたところ、AMDはEPYC Romeプロセッサー用のパッチが利用可能になると回答した。しかし、Ryzen向けのパッチがいつになるのかは明らかにしておらず、Zenbleedによるパフォーマンスへの影響についても回答していない。 [Source: Tom’s Hardware] |
Ormandy氏によると、デスクトップCPUやモバイル・ノートPC向けCPUなどを含むすべてのZen 2 CPUがこの脆弱性の影響を受けるとされています。Ryzen向けの修正がいつになるのか、AMDからの情報公開が待たれます。
< Updte 1: 2023/7/25 AM07:47追記 >
AMDが情報を公開しました。AMDによると、以下の予定(目標)で脆弱性を修正したAGESAをマザーボードメーカーやOEMにリリースするとのこと。
- Ryzen 3000シリーズデスクトップCPU: 2023年12月頃
- Ryzen 4000シリーズデスクトップCPU: 2023年12月頃
- Threadripper 3000シリーズ: 2023年10月頃
- Threadripper PRO 3000WXシリーズ: 2023年11~12月頃
- Ryzen 4000シリーズモバイルCPU: 2023年11月頃
- Ryzen 5000シリーズモバイルCPU: 2023年12月頃
- Ryzen 7020シリーズモバイルCPU: 2023年12月頃
- EPYC 7002シリーズ(Rome): リリース済み
EPYC 7002シリーズ用の修正はリリースされましたが、そのほかは大分遅く、2023年10~12月頃とのこと。なお、上記はAGESAのリリース予定のため、マザーボードメーカーやOEMから修正BIOSとしてリリースされるのはさらに先になるでしょう。
また、追加情報として、AMDはパフォーマンスへの影響について「パフォーマンスへの影響は、ワークロードやシステム構成によって異なります」とTom’s Hardwareに回答しました。具体的にどれくらいの影響があるのかは明言されていませんが、少なからず影響がある模様です。