AMD Ryzen(Zen3/Zen4)に重大な脆弱性、RSA暗号を6.5秒で解読窃取できる不具合、修正時期は未定、今すぐ利用中止を

AMDのCPUに新たな脆弱性が見つかりました。

見つかった脆弱性のCVE-IDはCVE-2023-20569。AMDによると、この脆弱性を悪用した『Inception』と呼ばれる新たなサイドチャネル攻撃により、情報漏えいの恐れがあるとのこと。

この脆弱性はチューリッヒ工科大学の研究者らにより発見されました。『Inception』によるデータ窃取の速度は毎秒39バイトほどで、16文字のパワードを窃取するのに約0.5秒、RSA暗号を窃取するのに約6.5秒かかるとされています。

データ窃取のデモ映像が以下。
https://youtu.be/2wCjU8iJ9G4

この脆弱性はZen 3およびZen 4アーキテクチャのCPUに影響するとされており、現在、AMDは脆弱性を修正したAGESAファームウェアのリリースに取り組んでいます。

（以下略）
https://www.nichepcgamer.com/archives/amd-ryzen-zen4-and-zen3-vulnerability-cve-2023-20569-inception-attack.html

脆弱性の影響を受けるCPU＆ファームウェアリリース予定時期

Ryzen 5000シリーズデスクトップCPU:
2023年8月予定、AGESA ComboAM4v2PI 1.2.0.B

Ryzen 7000シリーズデスクトップCPU:
2023年8月予定、AGESA ComboAM5 1.0.8.0

今月中に対応されるのだな

どっちも同じようなあれやな

IntelのCPUに新たな脆弱性、Downfall。第6世代Skylakeから第11世代Rocket Lakeまで影響。情報漏えいの恐れ | ニッチなPCゲーマーの環境構築Z
https://www.nichepcgamer.com/archives/intel-cpu-vulnerability-cve-2022-40982-downfall.html

見つかった脆弱性のCVE-IDはCVE-2022-40982。
『Downfall』と名付けられたこの脆弱性は、攻撃者に悪用されるとデータや機密情報を窃取される恐れがあるとのこと。
この脆弱性はGoogleの研究者Daniel Moghimi氏により発見されました。

本脆弱性の影響を受けるCPUは、
第6世代から第11世代のIntel CPU。Skylake、Kaby Lake、Coffee Lake、Comet Lake、Rocket Lake、Ice Lake、Tiger Lakeなどが影響を受けます。
第12世代Alder Lakeや第13世代Raptor Lakeはこの影響を受けません。

Intel (INTEL-SA-00828)は、本脆弱性への対処・緩和策として最新のファームウェア(BIOS)へとアップデートすることを推奨しています。
また、Intelは、BIOSアップデートを必要とせず、緩和策を適用したマイクロコードをOSから読み込ませられるよう、Linux用のマイクロコードをリリースしました。

しかし、Intel (DownfallのページのFAQ)によると、

本脆弱性の緩和策を適用すると最大50％のパフォーマンスの低下が発生する可能性があるとのこと。

そのため、Linux用のマイクロコードには緩和策の有効/無効を切り替えられるオプションが用意されています。
無効化方法についてはGather Data Samplingのページの『Linux』セクションをご確認ください。

zen2もあるんだな

Zen 2コアに脆弱性。修正は2023年10月以降
https://pc.watch.impress.co.jp/docs/news/1518766.html