ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • AMD 'Zenbleed' 버그로 Zen 2 Ryzen, EPYC CPU의 데이터 유출: 대부분의 패치가 4분기에 출시됨
      IT 소식 2023. 7. 27. 14:13
      728x90

       

      거대한 Zen 2 누출에는 패치가 필요합니다.

      2023년 7월 24일 오후 5:40(태평양 표준시) 업데이트: Google의 성명과 영향을 받는 모든 프로세서의 전체 목록 및 각 모델의 예상 패치 날짜를 추가했습니다.

       

      업데이트 7/24/23 1:30pm PT: AMD는 주요 세부 정보로 응답하고 새 펌웨어의 예상 날짜가 포함된 보안 권고를 게시했으며, 대부분은 연말까지 도착하지 않습니다. 아래 원본 기사에 해당 정보를 추가했습니다.

      2023년 7월 24일 오전 8:45(PT)에 게시된 원본 기사:

      Google Information Security의 연구원인 Tavis Ormandy는 AMD의 Zen 2 프로세서에서 독립적으로 발견한 새로운 취약점에 대해 오늘 게시했습니다. ' Zenbleed ' 취약점은 AMD의 EPYC 데이터 센터 프로세서 및 Ryzen 3000/4000/5000 CPU를 포함한 전체 Zen 2 제품 스택에 걸쳐 암호화 키 및 사용자 로그인과 같은 CPU에서 보호된 정보를 훔칠 수 있습니다. 이 공격은 컴퓨터나 서버에 물리적으로 접근할 필요가 없으며 웹 페이지에서 자바스크립트를 통해 실행될 수도 있습니다.

       

      AMD는 발행 시점에 준비된 권고가 없었지만 회사는 AMD-SB-7008 게시판을 추가했습니다.몇 시간 후. AMD는 현재 EPYC 7002 '로마' 프로세서에 대한 패치를 준비했지만 올해 11월과 12월까지는 소비자용 Zen 2 Ryzen 3000, 4000 및 일부 5000 시리즈 칩을 패치하지 않을 것입니다. PS5, Xbox Series X 및 S, Steam Deck에 사용되는 AMD의 프로세서도 모두 Zen 2 칩으로 구동되지만 영향을 받는지는 확실하지 않습니다. 자세한 내용은 후속 조치 중입니다. 아래에 완화 일정에 대한 세부 정보를 추가했습니다.

      AMD는 성능 영향에 대한 구체적인 세부 정보를 제공하지 않았지만 Tom's Hardware 에 다음과 같은 성명을 발표했습니다 . “성능 영향은 워크로드 및 시스템 구성에 따라 달라집니다. AMD는 연구 환경 외부에서 설명된 취약점의 알려진 악용을 알지 못합니다.”

       

      AMD의 성명은 패치로 인해 성능에 약간의 영향이 있음을 암시하지만 소비자 Ryzen 제품에 대한 패치가 도착하면 독립적인 벤치마크를 수행해야 합니다. 그동안 우리는 AMD에 공유할 수 있는 수치를 요청했습니다.

       

      Zenbleed 취약점은 CVE-2023-20593 으로 제출됩니다.코어당 초당 30kb의 속도로 데이터 유출(도난)을 허용하므로 프로세서를 통해 흐르는 민감한 정보를 훔칠 수 있는 적절한 처리량을 제공합니다. 이 공격은 가상 머신, 샌드박스, 컨테이너 및 프로세스를 포함하여 프로세서에서 실행되는 모든 소프트웨어에서 작동합니다. 이 공격이 가상 머신 전체에서 데이터를 읽는 기능은 특히 클라우드 서비스 공급자와 클라우드 인스턴스를 사용하는 사람들에게 위협적입니다.

       

      권한 없는 임의 코드 실행을 통해 공격을 수행할 수 있습니다. Ormandy는 익스플로잇에 대한 보안 연구 저장소 와 코드를 게시했습니다 . 이 공격은 레지스터 파일을 조작하여 아래에 설명된 대로 잘못 예측된 명령을 강제 실행합니다(추측 실행 엔진을 사용함을 의미).

       

      "버그는 다음과 같이 작동합니다. 먼저 XMM 레지스터 병합 최적화2라는 것을 트리거한 다음 레지스터 이름 변경 및 잘못 예측된 vzeroupper가 뒤따릅니다. 이 모든 작업은 정확한 시간 내에 발생해야 합니다.

      우리는 이제 strlen, memcpy 및 strcmp와 같은 기본 작업이 벡터 레지스터를 사용한다는 것을 알고 있으므로 시스템에서 발생하는 작업을 효과적으로 감시할 수 있습니다! 다른 가상 머신, 샌드박스, 컨테이너, 프로세스 등에서 발생하는지 여부는 중요하지 않습니다!

      이는 레지스터 파일이 동일한 물리적 코어의 모든 항목에서 공유되기 때문에 작동합니다. 실제로 두 개의 하이퍼스레드는 동일한 물리적 레지스터 파일을 공유하기도 합니다." 라고 Ormandy는 말합니다.

      AMD는 "특정 마이크로아키텍처 환경에서 "Zen 2" CPU의 레지스터가 0에 올바르게 기록되지 않을 수 있습니다. 이로 인해 다른 프로세스 및/또는 스레드의 데이터가 YMM 레지스터에 저장될 수 있습니다. , 공격자가 중요한 정보에 잠재적으로 액세스할 수 있습니다."

      Ormandy는 여러 운영 체제에 대한 소프트웨어 접근 방식을 통해 버그를 패치할 수 있지만(예: " 치킨 비트 DE_CFG[9]" 를 설정할 수 있음 ) 이로 인해 성능이 저하될 수 있다고 말합니다. Ormandy는 마이크로코드 업데이트를 받을 것을 적극 권장하지만 그의 게시물에는 다른 운영 체제에 대한 소프트웨어 완화의 예도 포함되어 있습니다.

       

      다음은 영향을 받는 프로세서 목록과 OEM에 대한 AGESA 버전 출시 일정입니다.

       

       

      아래에는 영향을 받는 각 칩의 모델 번호와 새로운 AGESA의 예상 데이터가 포함된 자세한 목록이 있습니다. AMD의 AGESA는 OEM이 BIOS 개정판을 구축하는 코드 기반입니다. 시스템을 패치하려면 위에 나열된 AGESA 코드 이상으로 BIOS를 업데이트해야 합니다.

       

      “우리는 Google의 보안 연구원인 Tavis Ormandy가 발견한 CVE-2023-20593에 설명된 AMD 하드웨어 보안 취약점을 알고 있으며 AMD 및 업계 파트너와 긴밀히 협력했습니다. 우리는 Google 플랫폼에서 취약점을 해결하기 위해 노력했습니다.” - Tom's Hardware의 Google 대변인입니다.

       

      Ormandy는 2023년 5월 15일에 이 문제를 AMD에 보고했다고 말했습니다. "동료, 특히 Eduardo Vela Nava와 Alexandra Sandulescu의 도움 없이는 찾을 수 없었을 것입니다. 또한 Josh Eads의 버그 분석에 도움을 받았습니다."

       

      Desktop CPUNew Agesa Firmware VersionPatch Due
      Ryzen 3 3100 ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 3 3300X ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 3 4100 ComboAM4v2PI_1.2.0.C Nov 2023
      Ryzen 3 4300G ComboAM4v2PI_1.2.0.C Dec 2023
      Ryzen 3 4300GE ComboAM4v2PI_1.2.0.C Dec 2023
      Ryzen 4700S ComboAM4v2PI_1.2.0.C Nov 2023
      Ryzen 5 3500 ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 5 3500X ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 5 3600 ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 5 3600X ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 5 3600XT ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 5 4500 ComboAM4v2PI_1.2.0.C Nov 2023
      Ryzen 5 4600G ComboAM4v2PI_1.2.0.C Dec 2023
      Ryzen 5 4600GE ComboAM4v2PI_1.2.0.C Dec 2023
      Ryzen 7 3700X ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 7 3800X ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 7 3800XT ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 7 4700G ComboAM4v2PI_1.2.0.C Dec 2023
      Ryzen 7 4700GE ComboAM4v2PI_1.2.0.C Dec 2023
      Ryzen 9 3900 ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 9 3900X ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 9 3900XT ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen 9 3950X ComboAM4v2PI_1.2.0.C | ComboAM4PI_1.0.0.C Dec 2023
      Ryzen Threadripper 3960X CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.9 Nov 2023 / Dec 2023
      Ryzen Threadripper 3970X CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.8 Nov 2023 / Dec 2023
      Ryzen Threadripper 3990X CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.7 Nov 2023 / Dec 2023
      Ryzen Threadripper Pro 3945WX CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.13 Nov 2023 / Dec 2023
      Ryzen Threadripper Pro 3955WX CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.12 Nov 2023 / Dec 2023
      Ryzen Threadripper Pro 3975WX CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.10 Nov 2023 / Dec 2023
      Ryzen Threadripper Pro 3995WX CastlePeakWSPI-sWRX8 1.0.0.C | ChagallWSPI-sWRX8 1.0.0.11 Nov 2023 / Dec 2023
      Mobile CPUNew Agesa Firmware VersionPatch Due
      Ryzen 3 4300U RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 3 5300U CezannePI-FP6_1.0.1.0 Dec 2023
      Ryzen 3 7320U MendocinoPI-FT6_1.0.0.6 Dec 2023
      Ryzen 5 4500U RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 5 4600H RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 5 4600HS RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 5 4600U RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 5 4680U RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 5 5500U CezannePI-FP6_1.0.1.0 Dec 2023
      Ryzen 5 7520U MendocinoPI-FT6_1.0.0.6 Dec 2023
      Ryzen 7 4700U RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 7 4800U RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 7 4980U RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 7 5700U CezannePI-FP6_1.0.1.0 Dec 2023
      Ryzen 9 4900H RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 9 4800H RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 9 4800HS RenoirPI-FP6_1.0.0.D Nov 2023
      Ryzen 9 4900HS RenoirPI-FP6_1.0.0.D Nov 2023
      Server CPUNew Agesa Firmware VersionPatch Available
      EPYC 7232P RomePI 1.0.0.H Now
      EPYC 7252 RomePI 1.0.0.H Now
      EPYC 7262 RomePI 1.0.0.H Now
      EPYC 7272 RomePI 1.0.0.H Now
      EPYC 7282 RomePI 1.0.0.H Now
      EPYC 7302 RomePI 1.0.0.H Now
      EPYC 7302P RomePI 1.0.0.H Now
      EPYC 7352 RomePI 1.0.0.H Now
      EPYC 7402 RomePI 1.0.0.H Now
      EPYC 7402P RomePI 1.0.0.H Now
      EPYC 7452 RomePI 1.0.0.H Now
      EPYC 7502 RomePI 1.0.0.H Now
      EPYC 7502P RomePI 1.0.0.H Now
      EPYC 7532 RomePI 1.0.0.H Now
      EPYC 7542 RomePI 1.0.0.H Now
      EPYC 7552 RomePI 1.0.0.H Now
      EPYC 7642 RomePI 1.0.0.H Now
      EPYC 7662 RomePI 1.0.0.H Now
      EPYC 7702 RomePI 1.0.0.H Now
      EPYC 7702P RomePI 1.0.0.H Now
      EPYC 7742 RomePI 1.0.0.H Now
      EPYC 7F32 RomePI 1.0.0.H Now
      EPYC 7F52 RomePI 1.0.0.H Now
      EPYC 7F72 RomePI 1.0.0.H Now
      EPYC 7H12 RomePI 1.0.0.H Now

       

      출처 : https://www.tomshardware.com/news/zenbleed-bug-allows-data-theft-from-amds-zen-2-processors-patches-released?

       

      #amd #zen2 #epyc

       

      'IT 소식' 카테고리의 다른 글

      AMD Ryzen 3 7440U에 하이브리드 Phoenix2 APU 탑재 예정  (0) 2023.07.28
      AMD 소프트웨어: Adrenalin Edition 23.7.2 릴리스 정보  (0) 2023.07.27
      Radeon RX 7900 Golden Rabbit Edition이 7월 28일에 출시합니다.  (0) 2023.07.25
      AMD 'Zenbleed' 버그로 Ryzen, EPYC CPU의 데이터 유출: 대부분의 패치가 4분기 출시(업데이트됨)  (0) 2023.07.25
      AMD Radeon RX 7900 XT는 최신 Adrenalin 드라이버 업데이트로 최대 67% 빨라졌습니다.  (0) 2023.07.25

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바