Tutti i processori AMD Zen (si apre in una nuova scheda) sono vulnerabili a un difetto di gravità media che può consentire agli attori delle minacce di eseguire attacchi side-channel e rivelare chiavi RSA a 4096 bit con relativa facilità, avvertono gli esperti.
Il difetto, scoperto da diversi ricercatori di sicurezza informatica delle Università di tecnologia di Graz e della Georgia, è stato descritto in un documento intitolato "SQUIP: Scheduler Queue Containment Side Channel Exploit" ed è stato successivamente confermato da AMD.
"Un utente malintenzionato in esecuzione sullo stesso host e core della CPU potrebbe curiosare sui tipi di istruzioni che stai eseguendo a causa del design dello scheduler diviso nelle CPU AMD", ha spiegato uno degli autori. "L'M1 di Apple (probabilmente anche l'M2) segue lo stesso design ma non è ancora influenzato poiché non hanno ancora introdotto SMT nei loro processori."
soluzione di compromesso
SMT è l'abbreviazione di "multithreading simultaneo", una tecnica che migliora l'efficienza dei processori superscalari con multithreading hardware, consentendo più thread indipendenti di esecuzione, utilizzando le risorse del chip in modo più efficiente.
Il difetto deriva dal modo in cui funziona la CPU: puoi eseguire più righe di codice su un singolo core della CPU per migliorarne le prestazioni.
Ma consente anche ai potenziali hacker di controllare queste istruzioni, se possono installare malware sul dispositivo. Ma quasi tutti i malware possono essere neutralizzati con una patch software, e questa non è diversa. Tuttavia, viene fornito con un avvertimento importante.
Quindi, per mitigare la vulnerabilità, la tecnologia SMT deve essere disabilitata, il che significa un grande impatto sulle prestazioni del chip.
Apparentemente, tutti i processori Ryzen che eseguono le microarchitetture Zen 1, Zen 2 e Zen 3 sono interessati. AMD ha confermato il problema e lo ha chiamato AMD-SB-1039: Execution Unit Scheduler Contention Side Channel Vulnerability in AMD Processors.
"AMD raccomanda agli sviluppatori di software di utilizzare le migliori pratiche esistenti, inclusi algoritmi a tempo costante ed evitare flussi di controllo dipendenti dalla riservatezza, ove appropriato, per contribuire a mitigare questa potenziale vulnerabilità", si legge nelle istruzioni di AMD.
TechRadar Pro ha chiesto un commento ad AMD e aggiornerà l'articolo quando avremo una risposta.
Via: Tom's Hardware (si apre in una nuova scheda)