.
AMD
Um bug recentemente divulgado em muitos dos novos processadores de consumidor, estação de trabalho e servidor da AMD pode fazer com que os chips vazem dados a uma taxa de até 30 kilobytes por núcleo por segundo, escreve Tavis Ormandy, membro da equipe de segurança Project Zero do Google. Executada corretamente, a chamada vulnerabilidade “Zenbleed” (CVE-2023-20593) pode dar aos invasores acesso a chaves de criptografia e senhas de usuário e root, juntamente com outros dados confidenciais de qualquer sistema usando uma CPU baseada na arquitetura Zen 2 da AMD.
O bug permite que os invasores roubem dados dos registros de uma CPU. Os processadores modernos tentam acelerar as operações adivinhando o que serão solicitados a fazer a seguir, o que é chamado de “execução especulativa”. Mas às vezes a CPU adivinha errado; Os processadores Zen 2 não se recuperam adequadamente de certos tipos de previsões incorretas, que é o bug que o Zenbleed explora para fazer seu trabalho.
A má notícia é que a exploração não requer acesso físico ao hardware e pode ser acionada ao carregar o JavaScript em um site malicioso. A boa notícia é que, pelo menos por enquanto, não parece haver nenhum caso desse bug sendo explorado na natureza ainda, embora isso possa mudar rapidamente agora que a vulnerabilidade foi divulgada e o bug requer um tempo preciso para explorar.
“A AMD não está ciente de nenhuma exploração conhecida da vulnerabilidade descrita fora do ambiente de pesquisa”, disse a empresa ao Tom’s Hardware. A empresa de rede Cloudflare também diz que “não há evidências de que o bug está sendo explorado” em seus servidores.
Como a vulnerabilidade está no hardware, uma atualização de firmware da AMD é a melhor maneira de corrigi-la completamente; Ormandy diz que também pode ser corrigido por meio de uma atualização de software, mas “pode ter algum custo de desempenho”. O bug afeta todos os processadores baseados na arquitetura Zen 2 da AMD, incluindo vários processadores Ryzen para desktop e laptop, chips da série EPYC 7002 para servidores e CPUs das séries Threadripper 3000 e 3000 Pro WX para estações de trabalho.
A AMD já emitiu uma atualização de firmware mitigando o problema para servidores que executam os chips EPYC 7002 – sem dúvida o mais importante dos patches, já que um servidor ocupado executando várias máquinas virtuais é um alvo mais lucrativo para hackers do que PCs individuais.
A AMD diz que “qualquer impacto no desempenho variará dependendo da carga de trabalho e da configuração do sistema”, mas não forneceu detalhes adicionais.
Quando receberei um patch?
A arquitetura Zen 2 chegou pela primeira vez aos sistemas de consumo há cerca de quatro anos na forma da série AMD Ryzen 3000; o Ryzen 5 3600 era especialmente popular entre os fabricantes de PC. Mas o hábito da AMD de misturar e combinar arquiteturas de processadores nas gerações recentes de CPU significa que existem alguns chips Zen 2 espalhados pelas linhas Ryzen 4000, 5000 e 7000 também, afetando alguns sistemas novos e antigos.
| CPU | Lançado | Correção planejada | versão AGESA com correções |
|---|---|---|---|
| Ryzen 3000 (desktop) | Meados de 2019 | dezembro de 2023 | ComboAM4v2PI_1.2.0.C |
| Ryzen 4000G (desktop) | Meados de 2020 | dezembro de 2023 | ComboAM4v2PI_1.2.0.C |
| Ryzen 4000 (notebook) | Início-meados de 2020 | novembro de 2023 | RenoirPI-FP6_1.0.0.D |
| Ryzen 5700U/5500U/5300U (portátil) | início de 2021 | dezembro de 2023 | CézannePI-FP6_1.0.1.0 |
| Ryzen 7020 (notebook) | Final de 2022 | dezembro de 2023 | MendocinoPI-FT6_1.0.0.6 |
| Ryzen Threadripper 3000 | Final de 2019 | outubro de 2023 | CastlePeakPI-SP3r3 1.0.0.A |
| Ryzen Threadripper Pro 3000WX | Meados de 2020 | novembro/dezembro de 2023 | CastlePeakWSPI-sWRX8 1.0.0.C/ChagallWSPI-sWRX8 1.0.0.7 |
| EPYC 7002 | Meados de 2019 | Patch disponível | RomaPI 1.0.0.H |
Se você estiver usando processadores Ryzen para desktop, todos os chips Ryzen série 3000 e Ryzen série 4000G (mas não Ryzen 3000G, que usa uma versão Zen mais antiga) são vulneráveis ao Zenbleed. A AMD planeja lançar uma correção de firmware até dezembro, embora a placa-mãe ou o fabricante do PC seja responsável por distribuir a atualização.
Laptops são um pouco mais complicados. A maioria das CPUs de laptop da série Ryzen 4000 usa Zen 2, e a AMD planeja ter uma atualização pronta para novembro. Muitas das CPUs de laptop da série Ryzen 5000 fizeram a transição para o Zen 3, mas Ryzen 7 5700U, Ryzen 5 5500U e Ryzen 3 5300U continuaram a usar o Zen 2.
A AMD planeja lançar uma atualização para os sistemas da série Threadripper 3000 em outubro e correções para os sistemas da série Threadripper Pro 3000WX em novembro e dezembro.
.
