Во всех процессорах AMD с архитектурой Zen 2 нашли серьёзную уязвимость

Недавно исследователь из Google Information Security по имени Тэвис Орманди поделился своим открытием новой уязвимости в процессорах AMD с архитектурой Zen 2. Она позволяет злоумышленникам выкрасть защищенные данные с компьютера, включая ключи шифрования и информацию об учетных записях. Эта уязвимость была названа Zenbleed. По сообщениям, для эксплуатации Zenbleed не требуется физического доступа к компьютеру. Взлом уязвимости возможен даже удаленно через JavaScript на веб-странице. Если успешно использовать эту дыру в безопасности, можно передавать до 30 Кб данных в секунду на ядро. Этого достаточно для того, чтобы вытащить конфиденциальные данные из любой программы, работающей на системе. Согласно Tom’s Hardware, такие эксплоиты особенно опасны для облачных сервисов, через которые хакеры могут наблюдать за чужими компьютерами.

Самое печальное в этой истории — Zenbleed сложно обнаружить: для ее эксплуатации не нужны специальные разрешения или привилегии, поэтому нет надежных способов защиты от нее. Список затронутых серий процессоров уже опубликован, и AMD уже признала проблему, выпустив патч микрокода для второго поколения серверных процессоров EPYC 7002. Для остальных процессоров ожидается выпуск патча в октябре-декабре. Интересно, что такой патч может негативно повлиять на производительность компьютера. Но стоит отметить, что у AMD нет информации о реальном использовании подобного эксплоита за пределами исследовательских лабораторий.

Вот такие дела! Заманчиво представить себе хакера, который сидит за своим компьютером и удаленно вытягивает из чужих машин конфиденциальные данные через JavaScript на веб-странице. Кто бы мог подумать, что дыры в безопасности могут быть настолько тонкими и незаметными! Надеюсь, что AMD справится с этой проблемой быстро и эффективно, а то мы все можем оказаться на линии огня хакерских атак, не зная об этом ни малейшего!