Onderzoekers van de TU Dresden hebben een kwetsbaarheid in AMD-cpu's met Zen+- en Zen 2-architectuur gevonden, zo meldt TechSpot. Door middel van een sequentie van specifieke softwarecode kon data ongeoorloofd tussen verschillende onderdelen van de cpu 'lekken' naar andere onderdelen. Kwaadwillenden zouden op deze manier bij anderzijds beschermde data kunnen komen. De kwetsbaarheid werd in oktober van 2020 ontdekt en aan AMD gemeld. Software-ontwikkelaars hebben als het goed is genoeg tijd gehad om het probleem te verhelpen.
De ontdekkers, Saidgani Musaev en Christof Fetzer, noemen de kwetsbaarheid 'Transient Excecution of Non-Canonical Accesses', waarna AMD er de code CVE-2020-12965 aan gaf. AMD biedt in een geüpdatete whitepaper een hoop verschillende oplossingen voor het probleem, naar eigen zeggen allemaal met eigen voor- en nadelen. Het gebruik van een LFENCE-instructie (Load Fence) zou ook kunnen helpen bij het ontdekken van de eventuele kwetsbaarheid, zodat ontwikkelaars het lek konden dichten. Nieuwe cpu's zouden doorontwikkeld zijn om deze kwetsbaarheid in de toekomst te voorkomen.
Afbeelding via TU Dresden
De oorspronkelijke onderzoekers die de kwetsbaarheid vonden, maken zelf de connectie met Intel's Spectre- en Meltdown-kwetsbaarheid. Bij die laatste was het op Intel-cpu's mogelijk om ongeoorloofd geheugen te benaderen. De Spectre-kwetsbaarheid maakte het mogelijk om malafide code uit te voeren. Beide grote kwetsbaarheden op hardwareniveau zijn inmiddels verholpen.
Bronnen: TechSpot, AMD , TU Dresden (.pdf)
