La vulnerabilidad Zenbleed

 (lock.cmpxchg8b.com)
2 puntos por GN⁺ 2023-07-25 | 1 comentarios | Compartir por WhatsApp
  • Se descubrió una vulnerabilidad en procesadores de clase Zen 2. Esto incluye procesadores AMD Ryzen y EPYC.
  • Esta vulnerabilidad permite la filtración de información sensible, como claves criptográficas y contraseñas.
  • La vulnerabilidad se activa por una secuencia específica de instrucciones que incluye el uso de la instrucción vzeroupper.
  • Esta vulnerabilidad permite monitorear tareas que ocurren en todo el sistema usando el archivo de registros compartidos del procesador.
  • Este bug fue descubierto mediante técnicas de fuzzing y no se había encontrado antes debido a la falta de retroalimentación de cobertura en la CPU.
  • AMD distribuyó una actualización de microcódigo para corregir la vulnerabilidad, y se ofrece un método de mitigación por software.
  • No existen técnicas confiables para detectar la explotación de esta vulnerabilidad.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-07-25
Opinión de Hacker News
  • Una vulnerabilidad que demuestra que ejecutar algo en una máquina virtual no garantiza seguridad
  • En los últimos años se han descubierto varias vulnerabilidades de CPU
  • La cronología de la vulnerabilidad muestra el proceso de identificar y reportar el problema a AMD
  • La vulnerabilidad puede registrar información sensible incluso después de un tiempo de ejecución breve
  • La nueva actualización de microcódigo corrige el problema para algunos procesadores, pero no aplica a todos
  • La vulnerabilidad afecta a una amplia gama de procesadores AMD
  • El sitio web que aloja la vulnerabilidad está experimentando alto tráfico
  • Este artículo está siendo elogiado por su valor informativo y retrospectivo
  • Las CPU que no son EPYC no recibirán actualización de firmware hasta finales de este año
  • Incluso después de actualizar el microcódigo, en algunos sistemas la vulnerabilidad podría seguir funcionando