AMD RyzenシリーズCPUにサイドチャネルの脆弱性『SQUIP』。Zen 1 ~ Zen 3に影響
AMDは、Ryzen、Ryzen Threadripper、EPYCプロセッサーに脆弱性があることを発表しました。
AMDによると、Zen 1、Zen 2、Zen 3アーキテクチャを採用したCPUには、サイドチャネルの脆弱性があり、攻撃者に悪用されると機密情報が漏えい・窃取される恐れがあるとのこと。
この脆弱性は、ジョージア工科大学やグラーツ工科大学などの研究者らによって発見され、『SQUIP』(Scheduler Queue Usage via Interference Probing)と名付けられました。CVE IDはCVE-2021-46778。深刻度は中程度。
脆弱性の影響を受けるCPUは以下。
- デスクトップ
- AMD Ryzen 2000シリーズデスクトッププロセッサー
- AMD Ryzen 3000シリーズデスクトッププロセッサー
- AMD Ryzen 5000シリーズデスクトッププロセッサー
- AMD Ryzen 4000シリーズデスクトッププロセッサー with Radeon graphics
- AMD Ryzen 5000シリーズデスクトッププロセッサー with Radeon graphics
- ハイエンドデスクトップ (HEDT)
- 2nd Gen AMD Ryzen Threadripperプロセッサー
- 3rd Gen AMD Ryzen Threadripperプロセッサー
- ワークステーション
- AMD Ryzen Threadripper PROプロセッサー
- モバイル
- AMD Athlon 3000 Series Mobileプロセッサー with Radeon graphics
- AMD Ryzen 2000 Series Mobileプロセッサー
- AMD Ryzen 3000 Series Mobileプロセッサー、2nd Gen AMD Ryzen Mobileプロセッサー with Radeon graphics
- AMD Ryzen 3000 Series Mobileプロセッサー with Radeon graphics
- AMD Ryzen 4000 Series Mobileプロセッサー with Radeon graphics
- AMD Ryzen 5000 Series Mobileプロセッサー with Radeon graphics
- Chromebook
- AMD Athlon 3000 Series Mobileプロセッサー with Radeon graphics
- AMD Athlon Mobileプロセッサー with Radeon graphics
- AMD Ryzen 3000 Series Mobileプロセッサー with Radeon graphics
- サーバー
- 1st Gen AMD EPYCプロセッサー
- 2nd Gen AMD EPYCプロセッサー
- 3rd Gen AMD EPYCプロセッサー
この脆弱性はZen 1 (Zen、Zen+)にも影響するとされていますが、上記リストにはなぜかRyzen 1000シリーズは含まれていません。(書き忘れなのか、実際に影響しないのかは不明)
本脆弱性について、AMDは、現在のところ修正パッチやBIOSアップデート・マイクロコードなどによる回避策の提供は行っておらず、ソフトウェア開発者側にて対策を行うようアナウンスしています。