Sommario
Una nuova vulnerabilità di sicurezza è stata scoperta nei processori basati sull’architettura Zen 2 di AMD. Questa vulnerabilità potrebbe essere sfruttata per estrarre dati sensibili come chiavi di crittografia e password.
Dettagli sulla vulnerabilità Zenbleed
La vulnerabilità, scoperta dal ricercatore di Google Project Zero Tavis Ormandy e denominata “Zenbleed” (CVE-2023-20593, punteggio CVSS: 6.5), permette l’estrazione di dati alla velocità di 30 kb per core, al secondo. Questo problema rientra in una categoria più ampia di debolezze chiamate “attacchi di esecuzione speculativa”, in cui la tecnica di ottimizzazione ampiamente utilizzata nei moderni CPU viene abusata per accedere alle chiavi crittografiche dai registri della CPU.
Implicazioni della vulnerabilità
“Under specific microarchitectural circumstances, a register in ‘Zen 2’ CPUs may not be written to 0 correctly,” ha spiegato AMD in un avviso. “This may cause data from another process and/or thread to be stored in the YMM register, which may allow an attacker to potentially access sensitive information.” La società di infrastrutture web Cloudflare ha notato che l’attacco potrebbe essere eseguito anche a distanza tramite JavaScript su un sito web, eliminando così la necessità di accesso fisico al computer o al server.
Come proteggersi
Nonostante non ci siano prove che il bug sia stato sfruttato in natura, è essenziale applicare gli aggiornamenti del microcodice per mitigare il rischio potenziale non appena diventano disponibili tramite i produttori di apparecchiature originali (OEM).
