ثغرة أُخرى باسم Inception قد تؤدّي لتسريب بيانات حسّاسة من معالجات Zen
بعد أيام فقط من ظهور تقارير عن استغلال Zenbleed الذي يؤثر على معالجات AMD من معمارية Zen 2، قام باحثون من ETH Zurich بتفصيل ثغرة خطيرة أُخرى تؤثر على مجموعة من معالجات AMD ذات أنوية Zen.
تُعرف الثغرة باسم “Inception”، ويمكن للثغرة الأمنية الجديدة أن تتسبب في تسرب ذاكرة kernel والوصول إلى الملفات الحساسة على أجهزة Linux في ظل ظروف معينة. وفقًا للتقرير الذي نشره الباحثون هذا الأسبوع، فإن الثغرة الأمنية الجديدة تؤثر على جميع معالجات AMD Ryzen مع أنوية Zen، مما يعني أن مجموعة من المعالجات المُخصّصة لأجهزة الكمبيوتر المكتبية، المحمولة، مراكز البيانات و HEDT معرضة للخلل.
أظهر الباحثون أيضاً أنه يُمكن تسريب ذاكرة kernel بمعدل يصل إلى 39 بايت في الثانية على معالجات Zen 4، مما يمكنهم من التسريب على أجهزة Linux في 40 دقيقة فقط. وبحسب ما ورد تضمّن الملف المسرب كلمات مرور حساب مستخدم لا يمكن الوصول إليه إلا من قبل المستخدم الرئيسي.
قال الباحثون في تقريرهم إنهم استخدموا ثغرة أمنية تم الكشف عنها سابقًا تسمى “Phantom speculation” لتصميم فئة جديدة من هجمات التنفيذ العابر تسمى Training in Transient Execution (TTE)، والتي تم استخدامها بعد ذلك لإنشاء Inception.
هذا وقد أقرت AMD بالمشكلة وستقوم بطرح تحديثات لإصلاح المشكلة مع بعض المعالجات المتأثّرة. صنّفت الشركة مستوى خطورة Inception على أنه “متوسط” وقالت إن الثغرة قابلة للاستغلال محليًا فقط عبر البرامج الضارة التي يتم تنزيلها. وفي حين أن هذا يجعله أقل خطورة نسبيًا من عيوب تنفيذ التعليمات البرمجية عن بُعد، إلا أنه لا يزال مدعاة للقلق حتى تتمكن الشركة من طرح تحديثات لجميع الشرائح المتأثرة في تشكيلتها.
لذا، إذا كان لديك معالج AMD قائم على معمارية Zen، قم بتثبيت آخر تحديث متوفر في أسرع وقت ممكن. تجدر الإشارة هنا إلى أن Inception لا يؤثر إلا على رقائق AMD، مما يعني أن الأشخاص الذين لديهم معالجات من Intel لن يتأثروا بها.
ومع ذلك، فإن الفريق الأزرق ليس واضحًا تمامًا، حيث قام باحثو الأمن السيبراني مؤخرًا بتفصيل هجوم قناة جانبية يسمى Downfall والذي يؤثر على العديد من معالجاته. ووفقًا للتقارير، تتأثر معالجات Intel Core’s 6th-11th-gen بـ Downfall، مما يمكّن المهاجمين من الوصول المحتمل إلى البيانات التي لا ينبغي أن تكون مرئية، مثل مفاتيح التشفير، وما إلى ذلك.
