ช่องโหว่ ‘Zenbleed’ ใน CPU ของ AMD สามารถเปิดเผยข้อมูลที่เป็นความลับได้
2023.07.27
ช่องโหว่ที่ถูกตั้งชื่อว่า Zenbleed หมายเลข CVE-2023-20593 ถูกค้นพบโดยนักวิจัยของ Google ในกรณีศึกษาเกี่ยวกับหน่วยประมวลผลใหม่ และได้รายงานถึง AMD เมื่อวันที่ 15 พฤษภาคม นักวิจัยด้านความปลอดภัยของ Google คือ Tavis Ormandy ที่นำทีมวิจัยไปทำการค้นพบและประกาศผลการพบช่องโหว่พร้อมรายละเอียดทางเทคนิคและตัวอย่างการใช้ exploit (PoC) เมื่อวันจันทร์ที่ผ่านมา (24 กรกฏาคม 2023) ซึ่งการค้นพบปัญหานี้เกิดจากการใช้เทคนิค fuzzing (การทดสอบโปรแกรมโดยการส่งข้อมูลที่สุ่มส่ง)
“Tavis Ormandy” อธิบายว่า “ในการทำงานจำนวนมาก ฉันค้นพบตัวแปรที่สามารถรั่วไหลได้ประมาณ 30 kb ต่อคอร์,ต่อวินาที ซึ่งเพียงพอต่อการตรวจสอบคีย์การเข้ารหัสและรหัสผ่านขณะที่ผู้ใช้เข้าสู่ระบบ!”
ช่องโหว่นี้ส่งผลกระทบต่อหน่วยประมวลผลทั้งหมดในระบบ Zen 2 และ CPU Ryzen 3000 (รวมถึง PRO และ Threadripper), 4000 (PRO), 5000, 7020, และ Epyc (Rome)และ AMD ได้เริ่มต้นปล่อยอัปเดต microcode และแนะนำให้ลูกค้าใช้การอัปเดตเฟิร์มแวร์ AGESA สำหรับบางผลิตภัณฑ์ตัวอัปเดตนี้อาจใช้เวลาในการพัฒนาเสร็จสิ้นและปล่อยอัปเดตสู่ผู้ใช้งานในไตรมาสสุดท้ายของปี 2023 นี้
Credit: https://www.securityweek.com/zenbleed-vulnerability-affecting-amd-cpus-can-expose-sensitive-information/
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05
