par La plate-forme AMD Zen 2 aurait été vulnérable à un nouveau bogue “Zenbleed”, contribuant au vol de données à grande échelle et à plusieurs attaques potentielles.
Les processeurs AMD Zen 2 sont désormais sujets aux fuites de données ; La plupart des correctifs seront publiés d’ici la fin de 2023
Tavis Ormandy, chercheur chez Google Information Security, a initialement découvert la vulnérabilité. Le bogue s’étend à tous les processeurs de l’architecture Zen 2, tels que les processeurs Ryzen 3000/4000/5000 et AMD EPYC. Le bogue “Zenbleed” ne nécessite pas de plate-forme physique et peut être exécuté via des pages Web et des données en ligne. Cependant, un aspect positif est qu’AMD a reconnu la vulnérabilité en publiant un “bulletin de sécurité”, soulignant le problème en détail.
S’étendant sur le bogue “Zenbleed”, il facilite l’extraction illégale de données à 30 Ko par cœur par seconde. Étant donné que cette attaque est principalement basée sur un logiciel, elle peut voler des informations via tous les éléments logiciels exécutés sur le processeur, tels que les machines virtuelles. Le bogue peut être exécuté via une exécution de code arbitraire non privilégiée en modifiant les fichiers de registre. Voici comment l’expert en sécurité détaille le bogue :
Le bogue fonctionne comme ceci, tout d’abord vous devez déclencher quelque chose appelé XMM Register Merge Optimization2, suivi d’un renommage de registre et d’un vzeroupper mal prévu. Tout cela doit se passer dans une fenêtre précise pour fonctionner.
Nous savons maintenant que les opérations de base comme strlen, memcpy et strcmp utiliseront les registres vectoriels – nous pouvons donc espionner efficacement ces opérations qui se produisent n’importe où sur le système ! Peu importe qu’ils se produisent dans d’autres machines virtuelles, bacs à sable, conteneurs, processus, peu importe !
Cela fonctionne car le fichier de registre est partagé par tout sur le même noyau physique. En fait, deux hyperthreads partagent même le même fichier de registre physique.
Le bogue “Zenbleed” aurait un impact sur les performances des processeurs Zen 2, bien que l’étendue de la rétrogradation ne soit pas encore précisée. Au moment de l’écriture, ce bogue pourrait potentiellement être présent dans plusieurs processeurs ; par conséquent, une solution permanente devrait être une priorité pour l’entreprise en ce moment ; cependant, il y a des complications. La date de sortie prévue par AMD pour le firmware AESGA pour plusieurs OEM n’est pas prévue pour octobre 2023. Voici un tableau compilé par Tom’s Hardware pour vous donner une brève idée des mises à jour attendues :
| Processeur | Micrologiciel Agesa | Disponibilité pour les OEM | Microcode |
| Processeurs AMD EPYC Rome de 2e génération | RomePI 1.0.0.H | Maintenant | 0x0830107A |
| Série Ryzen 3000 “Matisse” | ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C | Objectif décembre 2023 pour les deux | ? |
| Série Ryzen 4000 “Renoir” AM4 | ComboAM4v2PI_1.2.0.C | Objectif décembre 2023 | ? |
| Threadripper série 3000 “Caslle Peak” | CastlePeakPI-SP3r3 1.0.0.A | Objectif octobre 2023 | ? |
| Threadripper PRO série 3000WX “Castle Peak” | CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.7 | Objectif novembre 2023 | Objectif décembre 2023 | ? |
| Ryzen Série 5000 Mobile “Lucienne” | CézannePI-FP6_1.0.1.0 | Objectif décembre 2023 | ? |
| Ryzen Série 4000 Mobile “Renoir” | RenoirPI-FP6_1.0.0.D | Objectif novembre 2023 | ? |
| Série Ryzen 7020 “Mendocino” | MendocinoPI-FT6_1.0.0.6 | Objectif décembre 2023 | ? |
Cependant, Tavis a également suggéré une solution provisoire via le réglage du logiciel. Cela entraînerait un compromis de performances plus élevé et la méthode impliquée est complexe pour un consommateur moyen. Tavis aurait informé AMD du problème le 15 mai 2023, mais la société ne l’a pas résolu rapidement. Nous suggérons maintenant aux consommateurs sur la plate-forme Zen 2 d’attendre les prochains codes AGESA. Nous informerons sûrement nos lecteurs de tout développement ultérieur sur le sujet.
Source de l’actualité : Tom’s Hardware
