Mathieu
Une nouvelle vulnérabilité touchant la gamme de processeurs Zen 2 d’AMD – qui comprend des CPU populaires comme le Ryzen 5 3600 abordable – a été découverte et peut être exploitée pour voler des données sensibles telles que des mots de passe et des clés de chiffrement. Le chercheur en sécurité de Google, Tavis Ormandy, a divulgué le bug “Zenbleed” (déposé sous le numéro CVE-2023-20593) sur son blog cette semaine, après avoir d’abord signalé la vulnérabilité à AMD le 15 mai.
L’ensemble de la gamme de produits Zen 2 est impacté par la vulnérabilité, y compris tous les processeurs des séries AMD Ryzen 3000/4000/5000/7020, Ryzen Pro 3000/4000 et les processeurs de centre de données EPYC “Rome” d’AMD. AMD a depuis publié sa chronologie de prévision de publication des correctifs pour éliminer l’exploitation de la vulnérabilité, la plupart des mises à jour de micrologiciel n’étant pas attendues avant la fin de l’année.
Selon Cloudflare, l’exploit Zenbleed ne nécessite pas d’accès physique à l’ordinateur d’un utilisateur pour attaquer son système, et peut même être exécuté à distance via Javascript sur une page web. En cas d’exécution réussie, l’exploit permet le transfert de données à une vitesse de 30 kb par cœur et par seconde. C’est suffisamment rapide pour voler des données sensibles de tout logiciel s’exécutant sur le système, y compris les machines virtuelles, les sandbox, les conteneurs et les processus. La flexibilité de cette vulnérabilité est particulièrement préoccupante pour les services hébergés dans le cloud, car elle pourrait potentiellement être utilisée pour espionner les utilisateurs au sein des instances cloud.
Pire encore, Zenbleed peut passer inaperçu car il ne nécessite aucun appel système spécial ou aucun privilège particulier pour être exploité. “Je ne connais aucune technique fiable pour détecter l’exploitation”, a déclaré Ormandy. Le bug présente certaines similitudes avec la classe de vulnérabilités CPU Spectre en ce sens qu’il utilise des failles dans les exécutions spéculatives, mais il est beaucoup plus facile à exécuter, ce qui le rapproche davantage de la famille d’exploits Meltdown. La description technique complète de la vulnérabilité Zenbleed peut être trouvée sur le blog d’Ormandy.
AMD a déjà publié un correctif micrologiciel pour les processeurs Epyc 7002 de deuxième génération, mais les prochaines mises à jour pour les autres gammes de CPU ne sont pas attendues avant octobre 2023 au plus tôt. La société n’a pas révélé si ces mises à jour auront un impact sur les performances du système, mais une déclaration fournie à TomsHardware suggère que c’est possible.
Ormandy “recommande vivement” aux utilisateurs concernés d’appliquer la mise à jour de micrologiciel d’AMD, mais a également fourni des instructions sur son blog pour contourner le problème en attendant que les fournisseurs intègrent un correctif dans les futures mises à jour du BIOS. Ormandy met en garde contre le fait que cette solution de contournement pourrait également affecter les performances du système, mais elle est préférable que d’attendre une mise à jour du micrologiciel.
Sources :
– CVE-2023-20593 sur le site du MITRE: [Lien vers le MITRE](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20593)
– Blog de Tavis Ormandy: [Lien vers le blog](https://lock.cmpxchg8b.com/zenbleed.html)
– Annonce d’AMD sur le calendrier de publication des correctifs: [Lien vers l’annonce d’AMD](https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html)
– Article de Cloudflare sur Zenbleed: [Lien vers l’article de Cloudflare](https://blog.cloudflare.com/zenbleed-vulnerability/)
– Article de TomsHardware sur Zenbleed: [Lien vers l’article de TomsHardware](https://www.tomshardware.com/news/zenbleed-bug-allows-data-theft-from-amds-zen-2-processors-patches-released)
