Zgłoś błąd
X
Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.
Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国

Procesory AMD Ryzen podatne na lukę bezpieczeństwa Take A Way

Damian Marusiak | 07-03-2020 19:00 |

Procesory AMD Ryzen podatne na lukę bezpieczeństwa Take A WayRaptem wczoraj pisaliśmy o nowej luce bezpieczeństwa w procesorach Intela, której w przeciwieństwie do poprzednich nie da się usunąć drogą aktualizacji firmware'u, a dzisiaj już informujemy o kolejnej podatności, tym razem procesorów AMD wydanych w latach 2011-2019, a więc również wszystkich trzech generacji układów Ryzen, jakie dotychczas pojawiły się w sprzedaży. O nowej luce poinformowali badacze Politechniki w Grazie w Austrii - co ciekawe według słów tamtejszych badaczy, rzeczona luka została zgłoszona firmie AMD jeszcze w sierpniu ubiegłego roku, jednak do chwili obecnej producent w żadny sposób nie ustosunkował się do wykrytej luki bezpieczeństwa.

W procesorach AMD wydanych w latach 2011-2019 wykryto nową lukę bezpieczeństwa "Take A Way", w wyniku której można przeprowadzić dwa różne rodzaje ataków wykorzystując w tym celu rozszerzenie JavaScript w przeglądarkach Chrome oraz Firefox.

Procesory AMD Ryzen podatne na lukę bezpieczeństwa Take A Way [1]

Badacze z Politechniki w austriackim mieście Graz poinformowali, iż 23 sierpnia 2019 roku odkryli lukę bezpieczeństwa we wszystkich mikroachitekturach AMD, wydawanych w latach 2011-2019, a więc m.in. Zen oraz Zen 2, które pojawiły się w ostatnich trzech latach. Uczonym udało się tak przeprojektować mechanizm predykcji stosowany w pamięci podręcznej pierwszego poziomu przechowującej dane (tzw. L1D), tak aby możliwe było przeprowadzenie dwóch różnych ataków typu "Take A Way". Pierwszy sposób określany jako "Collide+Probe" pozwala osobie atakującej na monitorowanie pamięci podręcznej w urządzeniu ofiary bez konieczności znajomości adresów fizycznych lub bez znajomości pamięci podczas dzielenia czasu pomiędzy logiczne rdzenie.

Drugi sposób ataku został w dokumentacji określony jako "Load+Reload" i oznacza on, że osoba atakująca może uzyskać bardzo dokładne ślady dostępu do pamięci w obrębie tego samego fizycznego rdzenia. Atak typu "Load+Reload" opiera się na pamięci współdzielonej, jednocześnie jednak nie narusza bloków pamięci podręcznej (o określanych rozmiarach, w których przechowywane są informacje o adresach), pozwalając na zdecydowanie bardziej ukryte ataki - badaczom austriackiej Politechniki udało się przeprowadzić takie ataki, wykorzystując w tym celu rozszerzenie JavaScript w przeglądarkach internetowych Chrome oraz Firefox. Obecnie firma AMD nie odniosła się publicznie do tych informacji, wobec czego nie wiemy w jaki sposób producent zamierza ją usunąć.

Procesory AMD Ryzen podatne na lukę bezpieczeństwa Take A Way [2]

OFICJALNE OŚWIADCZENIE AMD: Jesteśmy świadomi nowego raportu wskazującego na potencjalne podatności w procesorach AMD, za sprawą których ktoś mógłby manipulować funkcją związaną z pamięcią podręczną i potencjalnie przekazać dane użytkownika w niezamierzony sposób. Badacze łączą tę ścieżkę ze znanym oprogramowaniem lub spekulatywnym wykonaniem kodu z bocznego kanału, których podatność zminimalizowano. AMD uważa, że nie są to nowe ataki bazujące na predykcji. Firma AMD w dalszym ciągu rekomenduje poniższe optymalne praktyki, aby zminimalizować ryzyko problemów dostępu z bocznego kanału:

  • Aktualizowanie nie bieżąco systemu poprzez najnowsze rewizje oprogramowania systemowego i sprzętowego, które uwzględniają poprawki dla istniejących podatności bazujących na spekulatywnym wykonywaniu kodu.
  • Korzystanie z bezpiecznych metodologii tworzenia kodu.
  • Implementowanie najnowszych poprawek kluczowych bibliotek programistycznych, w tym tych, które mogą dotknąć ataki bocznego kanału.
  • Używanie komputera zgodnie z bezpiecznymi praktykami i stosowanie oprogramowania antywirusowego.
Źródło: Tom's Hardware
51
Zgłoś błąd
Liczba komentarzy: 145

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.