התגלתה פגיעות חמורה בחלק ממעבדי AMD

פגיעות שמוגדרת כחמורה התגלתה במעבדי ה-PC של AMD. הפגיעות, שנחשפה בידי קבוצת האבטחה של גוגל בדף שלה בגיטהאב, משפיעה על כל המעבדים של החברה המבוססים על ארכיטקטורת Zen 1 עד Zen 4 – ולא ברור האם היא קיימת או לא במעבדי ה-Zen 5, שהושקו באחרונה.

לפי חוקרי האבטחה של גוגל, מדובר בפגיעות שמאפשרת למי שמצליח להגיע למחשב ולהשיג עבור עצמו זכויות מנהלן להריץ מיקרו-קוד שמתחזה לעדכון, וכך להשתיל פקודות שעלולות לגרום נזק למערכת. כך, לדוגמה, היא עלולה לגרום בכל בקשה להפקת מספר אקראי להחזיר כתשובה מספר קבוע – מה שיכול לשבש פעולה של תוכנות רבות.

לפי ההסבר של החוקרים, הפגיעות נובעת מכך שהמעבד משתמש בפונקציית Hash לא מאובטחת, כשיש צורך לאמת את החתימה עבור עדכונים שמבוצעים בשיטה של שימוש במיקרו-קוד.

הבעיה נחשפה בספטמבר – ופורסמה רק כעת

מה שמפתיע הוא שבגוגל חשפו את הבעיה הזו כבר בספטמבר והיא פורסמה רק כעת. בעוד שבדרך כלל נהוג לתת כחודשיים עד שלושה לכל היותר לתקן בעיות אבטחה לפני שמפרסמים אותן – כאן מדובר בסיכום מיוחד עם AMD, כנראה בגלל חומרת הפגיעה האפשרית. החברה כבר הפיצה בדיקה של עדכון המתקן את הבעיה ללקוחות שלה.

העדכון הזה אמור להיות זמין לכלל הציבור ב-5 במרץ, עת החברה תסביר באופן מפורט כיצד הבעיה נוצרה ותספק כלים לתיקון מיידי שלה.