RAČUNALNA SIGURNOST

Otkriveni sigurnosni propusti u milijardama AMD-ovih i Intelovih procesora

10.08.2023 u 11:54

Bionic
Reading

Izdanja najpopularnijih procesora u zadnjih šest do osam godina imaju sigurnosne propuste koji omogućavaju krađu osjetljivih podataka

Daniel Moghimi, stručnjak za sigurnost u Googleu, otkrio je sigurnosni propust koji zahvaća više generacija Intelovih procesora.

Napadači taj propust mogu iskoristiti kako bi čitali podatke iz drugih programa i memorijskih područja na računalima koja dijele s drugim korisnicima.

Propust je prijavljen još 22. kolovoza 2022. godine pod oznakom CVE-2022-40982, a Moghimi ga je nazvao Downfall. Intel je potvrdio kako problem doista postoji.

Potencijalno su ugrožene milijarde Intelovih procesora u računalima privatnih korisnika i web poslužiteljima u računalnom oblaku.

Primjerice, zlonamjerna aplikacija preuzeta iz trgovine aplikacijama mogla bi upotrijebiti Downfall za krađu osjetljivih informacija poput lozinki, ključeva za enkripciju i privatnih podataka kao što su bankovni podaci, osobna e-pošta i poruke.

Zahvaćeni procesori od 2015. godine

Propust uzrokuju značajke optimizacije memorije u Intelovim procesorima koje softveru nenamjerno otkrivaju interne hardverske registre.

Intel već nudi sigurnosnu zakrpu za ovaj propust, u vidu ažuriranja na najnovije izdanje firmwarea. Međutim, upozorava Moghimi, to može dovesti do gubitka performansi do 50 posto pod određenim okolnostima.

U potrošačkom segmentu, Downfall je rizik za sva osobna ili prijenosna računala s procesorima Core, od šeste generacije Skylake do 11. generacije Tiger Lake. To znači kako ranjivost postoji najmanje od 2015. godine, kada je Skylake debitirao.

Što se poslužitelja tiče, pogođeni su odgovarajući procesori iz serije Xeon. Intelovi noviji procesori Core 12. i 13. generacije nisu zahvaćeni, piše PC World.

Popis svih problematičnih procesora možete pronaći ovdje.

AMD-ovim procesorima, s druge strane, prijeti Inception (službena oznaka je CVE-2023-20569), propust kojeg su otkrili Daniël Trujillo, Johannes Wikner i Kaveh Razavi s ETH-a Zurich.

Zahvaćeni su praktično svi AMD-ovi procesori od 2017. godine do danas, uključujući i nova izdanja procesora iz serija Zen 4 Epyc i Ryzen.

AMD je objavio sigurnosnu zakrpu za novije inačice procesora Zen. U toj tvrtci vjeruju kako je ovaj propust moguće zlorabiti samo na lokalnoj razini, primjerice putem preuzetog zlonamjernog softvera.

Zasad nije poznato jesu li Inceptionom zahvaćeni i Intelovi procesori, piše Register.