wikiSicherheitshinweise zu AMD-SB-7008 Zenbleed
Am 24. Juli 2023 wurde von AMD das Security Bulletin AMD-SB-7008 veröffentlicht. Unter bestimmten mikroarchitektonischen Umständen kann ein Register in "Zen 2"-CPUs nicht korrekt auf 0 geschrieben werden. Dies kann dazu führen, dass Daten von einem anderen Prozess und/oder Thread im YMM-Register gespeichert werden, was einem Angreifer möglicherweise den Zugriff auf sensible Informationen ermöglicht.[1]
Betroffene Systeme
- Systeme mit "Zen 2" CPU, z.B. mit AMD EPYC 7002 Rome Prozessoren
Problemlösung
AMD stellt für AMD ECPYC 7002 Prozessoren das Microcode Update 0x0830107A bereit. Wir empfehlen, den aktualisierten Microcode über das Betriebssystem einzuspielen:
- Debian: DSA-5459 (amd64-microcode: CVE-2023-20593: use-after-free in AMD Zen2 processors)
- Ubuntu: CVE-2023-20593
- Red Hat: cve-2023-20593
- Microsoft Windows:
- Einspielen von Microcode Updates (sobald verfügbar)
- Stopping Zenbleed (CVE-2023-20593) on Windows (sba-research.org, 28.07.2023)
- Weitere Betriebssysteme: Siehe Informationen auf den Webseiten der jeweiligen OS-Hersteller
Updates für Produkte von Thomas-Krenn
Wir werden für betroffene Mainboards zudem BIOS Updates bereitstellen, sobald die geplante AGESA Version RomePI 1.0.0.H vom AMD bereitsteht. AMD plant die Fertigstellung dieser AGESA Version für Oktober 2023.
Weitere Informationen
- Zenbleed: Sicherheitslücke in allen Zen-2-CPUs von AMD (www.heise.de, 25.07.2023)
 |
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.
|
- ↑ Cross-Process Information Leak (www.amd.com/en/resources/product-security, 24.07.2023)
