Im Mai, Google Sicherheitsforscher Tavis Ormandy hat den „Zenbleed“-Bug entdeckt.
Ormandy hat den Fehler nun in seinem Blog offengelegt und erklärt, wie er sich auf Benutzer auswirken kann.
Betroffene AMD-CPUs
Diese neue Sicherheitslücke kann sich auf den gesamten Zen 2-Produktstapel des Unternehmens auswirken. Es umfasst Prozessoren wie die AMD Ryzen 3000/4000/5000/7020-Serie zusammen mit der Ryzen Pro 3000/4000-Serie. Auch die Rechenzentrumsprozessoren EPYC „Rome“ von AMD sind von der Sicherheitslücke betroffen. Das Unternehmen hat bereits seinen voraussichtlichen Veröffentlichungszeitplan für das Patchen des Exploits veröffentlicht. Die meisten Firmware-Updates werden voraussichtlich bis Ende 2023 verfügbar sein.
Wie sich dieser Fehler auf Benutzer auswirken kann
Laut einem Bericht von Tom’s Hardware ist das Zenbleed Exploit erfordert keinen physischen Zugriff auf den Computer eines Benutzers, um sein System anzugreifen. Hacker können den Fehler ausnutzen, indem sie ihn aus der Ferne über Javascript auf einer Webseite ausführen. Die Schwachstelle kann bei erfolgreicher Ausführung Datenübertragungen mit einer Rate von 30 KB pro Kern und Sekunde ermöglichen. Solche Geschwindigkeiten sind hoch genug, um sensible Daten von jeder auf dem System ausgeführten Software zu stehlen. Dazu gehören laut Ormandy virtuelle Maschinen, Sandboxes, Container und Prozesse.
In einem anderen Bericht wird außerdem behauptet, dass die Flexibilität dieses Exploits ein Problem für in der Cloud gehostete Dienste darstellt. Der Fehler kann dazu genutzt werden, Benutzer auszuspionieren, die Teil der Cloud sind.
Darüber hinaus kann Zenbleed auch einer Erkennung entgehen, da für die Ausnutzung keine besonderen Systemaufrufe oder Berechtigungen erforderlich sind.“ Mir sind keine zuverlässigen Techniken zur Erkennung von Ausbeutung bekannt“, sagte Ormandy.
Wie AMD auf den Fehler reagiert hat
AMD hat bereits einen Mikrocode-Patch für Epyc 7002-Prozessoren der zweiten Generation bereitgestellt. Die nächsten Updates für die verbleibenden CPU-Linien werden voraussichtlich im Oktober verfügbar sein. Benutzer, die nicht auf die Bereitstellung der Updates durch das Unternehmen warten möchten, können auch einen Software-Workaround anwenden. Ormandy hat jedoch gewarnt, dass dieser Workaround auch die Systemleistung beeinträchtigen könnte. Darüber hinaus hat nicht einmal AMD bekannt gegeben, ob sich diese Updates auf die Systemleistung auswirken werden.
„Uns ist die in CVE-2023-20593 beschriebene AMD-Hardware-Sicherheitslücke bekannt, die von Tavis Ormandy, einem Sicherheitsforscher bei Google, entdeckt wurde, und wir haben eng mit AMD und Industriepartnern zusammengearbeitet. „Wir haben daran gearbeitet, die Schwachstelle auf allen Google-Plattformen zu beheben“, sagte ein Google-Sprecher gegenüber der Veröffentlichung.