パスワードを忘れた? アカウント作成
16704833 story
AMD

AMD製CPUに脆弱性見つかる 36

ストーリー by nagazou
脆弱 部門より
AMD製のZen 2コアを採用したCPUに「Zenbleed」という脆弱性 (CVE-2023-20593) が存在していることが判明したそうだ。Zenbleedを発見したのはGoogleのセキュリティ研究者であるタビス・オーマンディ氏で、CPUのレジスタに正しく0が書き込まれない不具合があり、攻撃者が別のプロセスやスレッドからYMMレジスタに保存された機密情報などを読み出せるという(AMDリリースZenbleedPC WatchGIGAZINE)。

このZenbleedはOSに関係なく影響を及ぼす。また仮想マシンやサンドボックス、コンテナなどの保護機構を回避することができるとされる。AMDはZenbleedの深刻度を「中(Medium)」と評価している。AMDはBIOSアップデートを通したAGESAファームウェアの更新で対処する方針。データセンター向けの第2世代EPYCプロセッサはμコード0x0830107A、AGESA RomePI 1.0.0.Hで修正を行なうほか、デスクトップやハイエンドデスクトップは10月以降の配布を予定しているとのこと。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年07月27日 13時26分 (#4501536)

    > AMD製のZen 2コア

    うちのは2コアじゃなく12コアなので大丈夫だな。

  • by Anonymous Coward on 2023年07月27日 13時28分 (#4501537)

    シャレにならない

    • by Anonymous Coward

      山田君、墓場の歌さんに1枚

  • by Anonymous Coward on 2023年07月27日 13時39分 (#4501548)

    さすがに上客相手は即対応

    • by Anonymous Coward on 2023年07月27日 16時01分 (#4501653)

      この脆弱性は「同じ物理CPUで動いている他のプロセスがレジスタに置いた情報を盗み見れる」ものなので、シングルユーザーの環境では比較的脅威が低い。データセンターでVMを運用している環境で最も深刻な影響が出るので、データセンター用のSKUに真っ先に対応するのは当然のことだろう。

      (シングルユーザー環境では脅威にならないとまで言うつもりはない。CloudflareによるとJavascriptでも攻撃可能らしいので、それが正しいのならブラウザ経由で個人情報を盗まれる可能性もある。具体的にどうやって攻撃が成立するのか全然分からんけど。)

      親コメント
    • by Anonymous Coward

      エピックをロシア語式にエイーイピシーとでも読んでるの?
      ポプテピピックとか叙事詩とかのエピック(epic)のもじりだよ

    • by Anonymous Coward

      誰だってそうするでしょ、俺だってそうする

    • by Anonymous Coward

      藤井聡太の事ですね

  • by Anonymous Coward on 2023年07月27日 15時41分 (#4501637)

    観測されていない脆弱性はわからないだけで無いとは言い切れない
    Intelのは分かってる分対応策があるから脆弱性が見つかってよかったねといったら
    AMD信者から淫厨!!!AMDには脆弱性ありません!みたいなことを言われて続けたがこれどうするんだろうな

    俺は別に見つかって分かったなら軽減策取りつつパッチ待ちだよね~としか思わんけども

    • by Anonymous Coward

      AMD信者が言っていたように性能低下が嫌なら買い替えるしかない。

      • by Anonymous Coward

        Zen2ならZen3に挿し換えるだけでOKなので比較的ハードル低いのが不幸中の幸いですわね
        AM4はほんと息の長いプラットフォーム

    • by Anonymous Coward

      Intelは脆弱性の温床になってるHyper Threadingを15th Genから廃止するようですね。

      • by Anonymous Coward

        まだ噂の域(仮の実際検討していても本当にそうするか全く決まっていない)を出てないけどね。
        さらにいえば代わりに採用するといわれるRentable Unitsが不具合の温床にならないとは限らない。(導入初期は特に)

      • by Anonymous Coward

        そうやって、向こうが向こうがっていうの辞めた方が良いよ

  • by Anonymous Coward on 2023年07月27日 16時06分 (#4501657)

    型番で書いてくれないとちょっと詳しい一般人でもわかんないよ。
    コードネームとかプロパティ見ても出て来ないし。

    Ryzen第2世代と言われる奴の 3/5/7/9 が全部該当するってことであってる?

  • 随分遅いなぁ
    AM4のZen3 CPUを詫び値下げしてくんないかしら

    • by Anonymous Coward

      ハイエンドではないデスクトップは12月

  • by Anonymous Coward on 2023年07月27日 18時58分 (#4501791)

    AMDのCPUも脆弱性狙われるくらいメジャーになったぞ!

    • by Anonymous Coward

      モバイル系3種
      ・AMD Ryzen 5000 Series Mobile Processors with Radeon Graphics : Lucienne
      ・AMD Ryzen 4000 Series Mobile Processors with Radeon Graphics : Renoir
      ・AMD Ryzen 7020 Series Processors : Mendocino FT6
      https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008... [amd.com]

      いずれも Zen2リフレッシュやZen2.5等と言われたモデル。
      Intelが不調だった時期と重なったせいで、小型PCで数が出ているよ。

      • by Anonymous Coward

        ミニパソコン妙に安かったのって今にして思えばこういうことだんだろうか…

      • by Anonymous Coward

        ×不調だった
        ○競争相手がいないと慢心して手を抜いていた

  • by Anonymous Coward on 2023年07月30日 11時16分 (#4502850)

    [2023-07-24 16:11:45]
    [https://undeadly.org/cgi?action=article;sid=20230724224011]
    List: openbsd-tech
    Subject: Zenbleed
    From: "Theo de Raadt"
    Date: 2023-07-24 16:11:45

    Zenbleed errata for 7.2 and 7.3 will come out soon.

    sysupgrade of the -current snapshot already contains a fix.

    [https://news.ycombinator.com/item?id=36852300]
    我らが尊師Theo de raadtにより即時対応されております。

    • by Anonymous Coward

      [2023-07-24 16:11:45]
      [https://undeadly.org/cgi?action=article;sid=20230724224011]
      List: openbsd-tech
      Subject: Zenbleed
      From: "Theo de Raadt"
      Date: 2023-07-24 16:11:45

      Zenbleed errata for 7.2 and 7.3 will come out soon.

      sysupgrade of the -current snapshot already contains a fix.

      [https://news.ycombinator.com/item?id=36852300]
      我らが尊師Theo de raadtにより即時対応されております。

      そういえば、昔からOpenBSDは
      「当初から対策済み」or「発見後速やかに対策済み」だった記憶が…。

      HertzbleedとSpectreとMeltdownが

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...