AMD Zen2 CPU現在容易受到ZenBleed漏洞的影響，使多台PC面臨風險

據報導AMD Zen2平台容易受到新的 Zenbleed漏洞的影響，從而導致大規模數據盜竊和多種潛在攻擊。

Google訊息安全研究員Tavis Ormandy最初發現了該漏洞。該錯誤擴展到Zen2架構內的所有處理器，例如Ryzen 3000/4000/5000和AMD EPYC CPU。Zenbleed漏洞不需要物理平台，可以透過網頁和線上數據執行。然而一個積極的方面是AMD已經透過發布安全公告承認了該漏洞，並詳細強調了該問題。

它擴展了Zenbleed漏洞，以每核每秒30kb的速度進行非法數據提取。由於這種攻擊主要是來自軟體的，因此它可以透過處理器上執行的所有軟體元素（例如虛擬機）竊取訊息。透過更改寄存器文件，可以透過非特權任意代碼執行來執行該錯誤。

據說Zenbleed錯誤會影響Zen2 CPU的性能，但降級的程度尚未明確。此錯誤可能存在於多個CPU中；因此永久修復應該是公司目前的首要任務；然而也存在一些並發症。不過Tavis還建議透過軟體調整進行臨時修復，這將導致更高的性能權衡，而且所涉及的方法對於普通消費者來說很複雜。據報導Tavis已於2023年5月15日向 AMD通報了該問題，但該公司並未迅速解決。現在建議Zen2平台的消費者等待即將推出的AGESA韌體。

AMD已經針對EPYC 7002系列發放了更新韌體RomePI 1.0.0.H，編號0x0830107A。

針對Ryzen處理器的新韌體則都要等到11-12月份才會發放，各個系列對應的韌體版本分別為：

• 桌上型Ryzen 3000 Matisse：ComboAM4v2PI_1.2.0.C/ComboAM4PI_1.0.0.C、11/12月
• 桌上型Ryzen 4000 Renoir：ComboAM4v2PI_1.2.0.C、12月
• Ryzen ThreadRipper 3000 Caslle Peak：CastlePeakPI-SP3r3 1.0.0.A、12月
• Ryzen ThreadRipper PRO 3000WX Caslle Peak：CastlePeakWSPI-sWRX8 1.0.0.C/ChagallWSPI-sWRX8 1.0.0.7、11/12月
• Mobile Ryzen 4000 Renoir：RenoirPI-FP6_1.0.0.D、11月
• Mobile Ryzen 5000 Lucienne：CezannePI-FP6_1.0.1.0、12月
• Mobile Ryzen 7000 Mendocino：MendocinoPI-FT6_1.0.0.6、12月
  

消息來源