En allvarlig sårbarhet har upptäckts av säkerhetsforskaren Tavis Ormandy från Google i AMD:s Zen 2-processorer och gjordes publik igår. Sårbarheten är nu känd som Zenbleed och har fått beteckningen CVE-2023-20593.
Sårbarheten påverkar alla processorer från AMDs Zen 2-produktserien, inklusive AMD:s EPYC-datacenter-processorer (“Rome”). Den utnyttjar möjligheten att stjäla känslig information som lagras i processorn, exempelvis krypteringsnycklar och inloggningsuppgifter. Angreppet kan dessutom utföras på distans genom JavaScript på en webbplats, vilket innebär att en angripare inte behöver fysisk åtkomst till den drabbade datorn eller servern. Det gör sårbarheten än mer allvarlig.
Många av våra servrar använder processorer från AMD. Vi har agerat omgående för att minimera risken för att sårbarheten ska kunna utnyttjas. Eftersom sårbarheten rapporterats till AMD tidigare har de redan en så kallad microcode-uppdatering som åtgärdar sårbarheten. Alla våra potentiellt påverkade och sårbara servrar har blivit uppdaterade.
Vi har hittills inte noterat några tecken på att sårbarheten aktivt utnyttjats. Vi fortsätter att övervaka situationen noggrant för att se till att din, och alla kunders data och säkerhet är skyddad.