現在的惡意軟體滿天飛,安全漏洞無處不在,從網頁登入、文書文件、路由器…等等,都有可能存在安全性漏洞,讓駭客可以利用。前幾天,有人發現AMD Zen3、Zen4處理器存在安全漏洞,讓駭客有辦法竊取敏感資料,但是處理器又跟網路沒有關係,也沒有辦法像記憶體或儲存裝置一樣存取資料,為什麼會有安全漏洞?
由於現代電腦處理器常常使用「推測執行」的功能,也就是「根據現有資訊,利用空轉時間提前執行一些將來可能用得上,也可能用不上的指令(引用自維基百科)」,而進行推測時,可能會留下能讓駭客利用的痕跡。假設你寫作業時違規使用ChatGPT,即使從你的作答無法判斷,只要老師能存取你的網站瀏覽紀錄,一樣能抓到你。同樣的道理,如果你的處理器在處理或計算機密資料,雖然駭客軟體上可能無法存取這些資料,但是能讀取處理器的預測內容。這樣的漏洞被拿來使用,結合以前就出現過的CVE-2022-23825和瞬態執行訓練,產生新的CVE-2023-20569,能被用來竊取密碼,雖然資料洩漏速率只有每秒39個位元組,但是只要半秒就能竊取一組16個字元的RSA密碼組合。
雖然先前的CVE-2022-23825已經被解決了,但是這個新的攻擊目前還沒有任何防護措施,所以可能只能等待AMD釋出BIOS更新了。