Tüm AMD’ler (yeni sekmede açılır) Uzmanlar, Zen CPU’ların, tehdit aktörlerinin yan kanal saldırıları gerçekleştirmesine ve 4096 bit RSA anahtarlarını nispeten kolaylıkla ortaya çıkarmasına izin verebilecek orta düzeyde bir kusura karşı savunmasız olduğu konusunda uyardı.
Graz ve Georgia’daki teknoloji üniversitelerinden birden fazla siber güvenlik araştırmacısı tarafından keşfedilen kusur, “SQUIP: Exploiting the Scheduler Queue Contention Side Channel” başlıklı bir makalede açıklandı ve daha sonra AMD tarafından onaylandı.
Yazarlardan biri, “Sizinle aynı ana bilgisayar ve CPU çekirdeği üzerinde çalışan bir saldırgan, AMD CPU’larındaki bölünmüş zamanlayıcı tasarımı nedeniyle hangi tür talimatları yürüttüğünüzü gözetleyebilir” dedi. “Apple’ın M1’i (muhtemelen M2) aynı tasarımı takip ediyor, ancak henüz CPU’larında SMT’yi tanıtmadıkları için henüz etkilenmedi.”
Uzlaşma içinde çözüm
SMT, “eşzamanlı çoklu iş parçacığı” için kısadır – donanım çoklu iş parçacıklı süperskalar CPU’ların verimliliğini artıran, çipin kaynaklarını daha verimli kullanarak birden fazla bağımsız iş parçacığı yürütmesine izin veren bir teknik.
Kusur, CPU’nun çalışma şeklinden kaynaklanıyor – performansını artırmak için tek bir CPU çekirdeğinde daha fazla kod satırı çalıştırabiliyor.
Ancak bu, potansiyel tehdit aktörlerinin, cihaza kötü amaçlı yazılım yükleyebilirlerse bu talimatları izlemelerine de olanak tanır. Ancak hemen hemen her kötü amaçlı yazılım bir yazılım yaması ile etkisiz hale getirilebilir ve bu da farklı değil. Yine de büyük bir uyarı ile geliyor.
Bu nedenle, güvenlik açığını azaltmak için SMT teknolojisinin devre dışı bırakılması gerekiyor ve bu, çipin performansına önemli bir darbe anlamına geliyor.
Görünüşe göre, Zen 1, Zen 2 ve Zen 3 mikro mimarilerini çalıştıran tüm Ryzen işlemcileri etkileniyor. AMD sorunu onayladı ve buna AMD-SB-1039 adını verdi: AMD İşlemcilerde Yürütme birimi Zamanlayıcı Çekişmesi Yan Kanal Güvenlik Açığı.
AMD’nin talimatlarında, “AMD, yazılım geliştiricilerin, sabit zamanlı algoritmalar dahil olmak üzere mevcut en iyi uygulamaları kullanmasını ve bu olası güvenlik açığını azaltmaya yardımcı olmak için uygun olduğunda gizliliğe bağlı kontrol akışlarından kaçınmasını önerir.”
TechRadar Pro, AMD’den bir yorum istedi ve haber aldığımızda makaleyi güncelleyecek.
Aracılığıyla: Tom’un Donanımı (yeni sekmede açılır)