多くのAMD Ryzenプロセッサが、データを漏洩させる「Zenbleed」バグの影響を受けています。

知っておくべきこと

• 「Zenbleed」バグは、AMD の Zen 2 ラインナップに特に影響を及ぼします。
• このバグにより、場合によってはユーザーデータが漏洩する可能性があります。
• 今年の第 4 四半期までは修正は行われません。

昨日、Google Information Securityの研究者であるTavis Ormandy氏が、AMDのZen 2プロセッサに影響を及ぼす、これまで特定されていなかった脆弱性についてブログに投稿しました。これはZen 2シリーズ全体に影響する、かなり深刻な脆弱性です。つまり、Ryzen 2000/3000/4000/5000/7020に加え、EPYC「Rome」データセンタープロセッサも影響を受けることになります。

このバグにより、プロセッサ上の情報が盗まれる可能性があります。これには、ユーザーログイン情報や暗号化キーなどが含まれます。ただし、コンピュータやサーバーシステムへの物理的なアクセスは必要ありません。例えばJavaScriptを使用したWebページからアクセスでき、1コアあたり1秒あたり約30KBのデータが漏洩する可能性があります。AMDはこれを中程度の深刻度と評価しています。

AMD は、このプロセスが実際にどのように機能するかをわかりやすく説明しました。

Tavis Ormandy氏は、2023年5月15日にAMDにこの「Zenbleed」脆弱性について警告し、AMDは影響を受けるプロセッサ用のマイクロコードアップデートを既にリリースしていると述べています。BIOSまたはオペレーティングシステムベンダーは、このマイクロコードアップデートを含むアップデートを既に提供している可能性があります。ただし、これによりパフォーマンスが低下する可能性があることにも留意してください。 

この修正は主に、つい最近リリースされたばかりのAMD EPYC「Rome」プロセッサを対象としています。Ryzen 2000/3000/4000/5000/7020をお使いの方は、残念ながら修正プログラムのリリースまでかなり長い時間お待ちいただくことになります。修正プログラムは早くても11月か12月までに提供される予定です。Tavisは、マイクロコードアップデートを適用できない方のために、ソフトウェアによる回避策を提供しています。