画像: AMD
AMDのZen 2プロセッサに新たな脆弱性が発見されました。この脆弱性により、CPUからパスワードや暗号鍵などのデータが窃取される可能性があります。この脆弱性は、Googleのセキュリティ研究者であるTavis Ormandy氏によって今週公表されました。この脆弱性は、Ryzen 3000シリーズを含む、コンシューマー向けチップだけでなくサーバー向けチップにも影響を与えます。
Ormandy氏の投稿で詳述されているように、この「Zenbleed」脆弱性は5月中旬にAMDに初めて公開されました。この脆弱性は、Webページ上でJavaScriptを介してコードを実行するために利用でき、影響を受けるPCへの物理的なアクセスは必要ありません。また、Zenbleedが悪用されると、攻撃者はサンドボックスや仮想マシン内で行われているものも含め、あらゆるCPU操作を監視できるようになります。(技術的な詳細はOrmandy氏の投稿をご覧ください。より要約されたバージョンはTom's Hardwareのこちらのレポートをご覧ください。)影響を受けるのは、以下のプロセッサファミリーのすべてのZen 2プロセッサです。
- AMD Ryzen 3000シリーズプロセッサ
- AMD Ryzen PRO 3000シリーズプロセッサ
- AMD Ryzen Threadripper 3000シリーズプロセッサ
- AMD Ryzen 4000シリーズプロセッサ(Radeonグラフィックス搭載)
- AMD Ryzen PRO 4000シリーズプロセッサ
- AMD Ryzen 5000シリーズプロセッサ(Radeonグラフィックス搭載)
- AMD Ryzen 7020シリーズプロセッサ(Radeonグラフィックス搭載)
- AMD EPYC「Rome」プロセッサ
現時点では、AMD は、第 2 世代 EPYC サーバー CPU のマイクロコード アップデートと、脆弱性 (CVE-2023-20593 として提出) とその緩和策のリリース スケジュールを説明するセキュリティ アドバイザリのみをリリースしています。
一般ユーザー向けには、OEM(例えば、プレビルドPCおよびラップトップの場合はDellまたはHP、DIY PCの場合はマザーボードメーカー)を通じて修正が提供され、到着予定日は今年後半です。新しいAGESAファームウェアは、Threadripper 3000パーツが最初に10月にリリースされ、続いてRyzen 4000モバイルプロセッサが11月にリリースされます。Ryzen 3000および4000デスクトップCPU、およびRyzen 5000および7020モバイルプロセッサについては、2023年12月を目標としています。
AMDの発表を待ちたくない場合は、Ormandy氏がソフトウェアの調整による回避策を説明していますが、パフォーマンスへの影響は不明です。AMDの公式修正がパフォーマンスに及ぼす影響も現時点では不明ですが、Tom's Hardwareへの声明では、AMDはワークロードとPC構成に依存すると述べています。
いずれにせよ、Zen 2 CPUをお持ちの方は、この緩和策を確認するためのリマインダーをカレンダーに設定しておくことをお勧めします。速やかに適用することが、オンラインセキュリティにとって重要です。
この記事は、AMD の Zenbleed 緩和策とファームウェア更新スケジュールに関する詳細を含めるため、2023 年 7 月 24 日午後 3 時 30 分に更新されました。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
