Forskare vid ETH Zürich i Schweiz har upptäckt en ny sårbarhet som påverkar AMD Ryzen-processorer baserade på arkitekturerna Zen 3 och Zen 4. Processorerna används i desktops, High-End Desktop-enheter (HEDT), bärbara datorer och datacenter.
Inception-sårbarheten, som har CVE-2023-20569, återfinns närmare bestämt i den tabell som används för att få tillgång till DRAM och skulle kunna användas av en anfallare för att stjäla data. Sårbarheten jämförs av forskarna med kända säkerhetshål som Spectrev2. Forskaren Daniël Trujillo som upptäckte anfallsmetoden för sårbarheten liknar den vid filmen med samma namn eftersom båda är komplexa och svåra att förklara.
Själva kärnan med alla dessa attacker är rätt enkel och det är att en dators CPU hela tiden måste göra gissningar och att det går att mixtra med de gissningarna. – Daniël Trujillo, masterstudent vid ETH Zürich.
AMD har underrättats om sårbarheten och säger att de inte känner till om den använts för några intrång utöver de som säkerhetsforskarna gjort. Enligt företagets bedömningen går Inception-sårbarheten bara att utnyttja lokalt, exempelvis via nedladdade skadeprogram.
Hårdvarutillverkaren rekommenderar att kunder antingen applicerar en fristående uppdatering av mikrokoden eller en BIOS-uppdatering som inkluderar samma uppdatering. AMD planerar att släppa en uppdaterad version av AGESA med start i augusti och fram tills i december.
