Depois de ter alertado a AMD a 15 de maio, o investigador Tavis Ormandy publicou no seu blogue detalhes sobre a falha que está presente na linha de processadores Zen 2 e que permite roubar dados sensíveis como passwords e chaves de encriptação. Apesar de já terem sido lançadas algumas pequenas correções, a atualização para a maior parte dos processadores afetados só deve chegar no final deste ano.
A vulnerabilidade afeta todos os produtos Zen 2, incluindo processadores AMD Ryzen 3000 / 4000 / 5000 / 7020, Ryzen Pro 3000 / 4000 e os EPYC Rome. A Cloudflare explica que não é necessário acesso físico à máquina da vítima para explorar esta falha, com os ataques remotos através de Javascript numa página web a serem possíveis.
Um ataque bem orquestrado consegue transferir dados a uma velocidade de 30 kb por núcleo por segundo, ritmo suficiente para roubar informações sensíveis de qualquer software a ser executado, incluindo máquinas virtuais. O Zenbleed representa um nível acrescido de risco pois consegue operar sem ser detetado: “não sei de qualquer técnica fiável para detetar a exploração”, conta Ormandy ao The Verge.
Do lado da AMD, já foram lançadas atualizações para a segunda geração de processadores Epyc 7002 e as próximas atualizações para as restantes linhas de CPUs devem chegar em outubro. Há a possibilidade, ainda não confirmada nem desmentida, de que esta atualizações tenham impacto sobre o desempenho.
Leia mais sobre esta vulnerabilidade do blogue do investigador.
