securite-informatique

Les Ryzen 3000 et 4000 / 5000 series avec iGPU sont victimes d’une faille de sécurité préoccupante

AMD a publié un correctif mais pour les puces EPYC Zen 2

De nombreux processeurs AMD sont victimes d’une faille de sécurité. Nommée Zenbleed elle a été découverte par un chercheur en sécurité de chez Google, Tavis Ormandy.

Ce problème est également connu sous le nom de CVE-2023-20593. Il touche tous les processeurs à l’architecture Zen 2, y compris les processeurs de centre de données EPYC et les processeurs Ryzen 3000, 4000 et 5000 series. Voici la liste exacte.

  • Ryzen 3000 Series,
  • Ryzen PRO 3000 Series,
  • Ryzen Threadripper 3000 Series,
  • Ryzen 4000 Series with Radeon Graphics,
  • Ryzen PRO 4000 Series,
  • Ryzen 5000 Series with Radeon Graphics,
  • Ryzen 7020 Series with Radeon Graphics,
  • EPYC “Rome”.

Zenbleed est une faille de sécurité préoccupante car elle ne nécessite pas un accès physique à l’ordinateur pour être exploitée. Il est possible d’agir au travers d’un simple code javascript via une page Web. Le vecteur d’attaque est donc problématique surtout dans certains contextes comme par exemple les hébergement Web.

La faille permet d’accéder à des éléments comme des clés de chiffrement et des identifiants de connexion utilisateur. L’opération est cependant délicate car elle nécessite une certaine précision pour aboutir.  AMD a déjà publié un correctif (mise à jour du Firmware AGESA) pour ses processeurs serveur EPYC. Il est aussi prévu de publier des correctifs pour tous les CPU concernés d’ici la fin de l’année.

AMD n’a pas donné de détails spécifiques sur l’impact de ces correctifs. Le géant a précisé à nos confrères de chez Tom’s Hardware

Tout impact sur les performances variera en fonction de la charge de travail et de la configuration du système. AMD n’a connaissance d’aucun exploit connu de la vulnérabilité décrite en dehors de l’environnement de recherche.

Il sera donc nécessaire d’attendre la publication de benchmarks indépendants lors de la publication.

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Un commentaire

  1. “AMD a déjà publié un correctif (mise à jour du Firmware AGESA) pour
    ses processeurs serveur EPYC.

    Et toujours pas de correctif pour la faille d’exécution spéculative
    SQUIP.

    Ceci dit il reste à déterminer si ce correctif conçu à l’arrache pour
    rassurer les clients fortunés AMD est effectif tandis que les moins
    fortunés sont laissés pour compte et ne peuvent se fier qu’aux vagues
    promesses d’un calendrier.

    Etonnant ce revirement chez AMD après avoir recommandé les meilleurs
    pratiques aux développeurs pour ne pas investir du temps et de l’argent
    dans des correctifs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page