3 月 9 日訊,幽靈,、熔斷漏洞的曝光,,讓人們空前關(guān)注和重視 CPU 處理器的安全,尤其是對 Intel 造成了嚴(yán)重沖擊,,此后也不斷有新的漏洞被爆出,,嚴(yán)重程度和影響范圍不一。
奧地利格拉茨技術(shù)大學(xué)的研究人員發(fā)布論文稱,,他們新發(fā)現(xiàn)了兩種針對 AMD 處理器的攻擊方式 Collide+Probe,、Load+Reload,統(tǒng)稱為“Take A Way”,,可以通過誘騙一級數(shù)據(jù)緩存指示器,,從處理器中竊取加密數(shù)據(jù)。
該漏洞被描述為一種新的側(cè)信道攻擊方式,,屬于大名鼎鼎的幽靈(Spectre)系列,。
研究人員稱,這一漏洞影響 AMD 2011-2019 年的所有處理器,,包括推土機(jī)家族,、Zen 家族。
研究人員一共測試了 15 款不同型號的 AMD 處理器,,其中早期老架構(gòu)的不存在上述漏洞,包括 K8 架構(gòu)的速龍 64 X2 3800+,、K10 架構(gòu)的羿龍 II X6 1055T 和炫龍 II Neo N40L,,Bobcat 山貓架構(gòu)的 E-450、Jaguar 美洲豹架構(gòu)的速龍 5350,。
但此后的新架構(gòu)處理器就全部淪陷了,,包括推土機(jī)架構(gòu)的 FX-4100、打樁機(jī)架構(gòu)的 FX-8350,、挖掘機(jī)架構(gòu)的 A10-7870K,、Zen 架構(gòu)的線程撕裂者 1920X/1950X 和霄龍 7401p/7571、Zen+架構(gòu)的線程撕裂者 2970WX,、Zen 2 架構(gòu)的銳龍 7 3700X,。
其中,兩顆霄龍是在云端測試的,,其他處理器則是在實(shí)驗(yàn)室本地測試,。
至于 Intel 處理器是否受影響,研究人員并未提及,。
研究人員稱,,他們在 2019 年 8 月 23 日就將漏洞反饋給了 AMD,但一直未見安全更新,如今公開披露也符合行業(yè)慣例,。
幸運(yùn)的是,,AMD 很快做出官方回應(yīng),告訴大家不必?fù)?dān)心,。
AMD 表示:“我們已經(jīng)知曉,,一篇新的論文稱 AMD 處理器存在潛在的安全漏洞,可利用惡意代碼和緩存相關(guān)特性,,以非正常方式發(fā)送用戶數(shù)據(jù),。研究人員將此數(shù)據(jù)路徑與預(yù)測執(zhí)行側(cè)信道漏洞聯(lián)系在了一起。AMD 相信,,這些并非新型預(yù)測攻擊,。”
看這意思,,AMD 并不認(rèn)為這個(gè)所謂的新漏洞存在真正的安全威脅,,也不會發(fā)布更新補(bǔ)丁,只是建議用戶確保操作系統(tǒng)是最新版本,、更新所有補(bǔ)丁,,并注意日常操作安全。
在 3 月初,,一個(gè)以色列安全機(jī)構(gòu)公布了影響 AMD 處理器的安全漏洞的詳細(xì)信息,,而我們現(xiàn)在已經(jīng)得到 AMD 的正式消息,承認(rèn)所涉及的漏洞確實(shí)是真實(shí)的 - 盡管它補(bǔ)充說這些漏洞很難利用,,并且修復(fù)程序來了,。
以色列公司 CTS Labs 在其白皮書中強(qiáng)調(diào)了 13 個(gè)漏洞,而且與眾不同的是,,在公開進(jìn)行這項(xiàng)研究之前,,AMD 僅在 24 小時(shí)內(nèi)通知了 AMD。該漏洞影響了 Ryzen 和 Ryzen Pro CPU 以及 EPYC 服務(wù)器處理器,。
針對這些錯(cuò)誤,,AMD 的 CTO Mark Papermaster 強(qiáng)調(diào)了這樣一個(gè)事實(shí),即需要根級(管理員)操作系統(tǒng)訪問才能利用漏洞利用漏洞,。這意味著它們很難被利用 - 任何設(shè)法獲得未經(jīng)授權(quán)的管理員訪問機(jī)器的人都可能對機(jī)器造成各種破壞,,盡管存在一些錯(cuò)誤。
AMD 表示,,“正在與第三方提供商合作,,在適當(dāng)?shù)木徑獯胧┫略O(shè)計(jì)和制造'Promontory'芯片組”。
在所有情況下,,AMD 斷言對已打補(bǔ)丁的 PC 的性能不會造成影響,,而英特爾針對 Meltdown 和 Spectre 的解決方案則不會如此,,因?yàn)樗鼈兛赡軙?dǎo)致一定程度的速度下降(尤其是對于較舊的處理器或那些誰沒有運(yùn)行 Windows 10)。
AMD 表示將在未來幾周內(nèi)提供其緩解計(jì)劃的進(jìn)一步分析和更新,。