AMD Zen 2 İşlemcilerde Meltdown Benzeri Güvenlik Açığı Bulundu
Güvenlik araştırmacıları ve AMD’ye göre, şirketin AMD Zen 2 ve Zen+ işlemcileri Meltdown benzeri yeni bir güvenlik açığından muzdarip.
Güvenlik araştırmacıları, AMD’nin işlemcilerinde -özellikle AMD ZEN 2 modellerinde- Meltdown’a benzer bir yan kanal güvenlik açığı keşfettiler. AMD bu bulguları doğruladı ve bu yeni güvenlik açığını saldırganlara açık bırakmaktan kaçınmak için önlemler almaları konusunda uyardı. Bu açığın AMD’nin ürün yazılımı aracılığıyla kolayca düzeltebileceği bir şey olmadığını öne sürdü.
Meltdown Güvenlik Açığı Nedir?
Meltdown temelde uygulamaların donanım ile arasındaki bariyeri kırarak önbellekteki verileri okumasına izin veren bir güvenlik açığıdır. 1995 yılından bu zamana kadar üretilen tüm Intel işlemcilerde bulunmaktadır. Itanium çipine sahip sunucu işlemcileri ve bazı Intel Atom işlemciler ise bu zafiyetten etkilenmemektedir.
Meltdown güvenlik açığı ile kullanıcı parolaları, önbellekte tutulan bütün bilgiler, donanım bilgileri, işlemci desteğine bağlı olarak coğrafi konum bilgileri ve çevrimiçi bankacılık bilgileri dahi elde edilebilir.
Meltdown güvenlik açığının en kritik noktasından birisi ise bulut sunucularında da istismar edilebiliyor olmasıdır. Intel Xeon işlemcilerin de bu açıktan etkilendiğini düşünürsek, standart bir bulut sunucunun da etkilenmesi çok da ilginç bir durum değil.
Bir bulut sunucuda Meltdown istismarı gerçekleşmesi durumunda o an CPU’larda tutulan önbellek verileri okunabilir, kullanıcıların dosyaları açığa çıkabilir ve en önemlisi de aktif oturumlar takip edilerek hesap bilgileri ele geçirilebilir.
Araştırmacılar Saidgani Musaev ve Christof Fetzer, Meltdown’a benzer yürütme kalıplarına benzer şekilde AMD işlemcilerini suistimal etme yolunu keşfetti.
Araştırmacılar, AMD açığını “Kanonik Olmayan Erişimlerin Geçici Yürütülmesi” başlıklı bir teknik incelemede ele aldılar. Ayrıca “yasadışı bir veri akışını zorlamak için güvenilir bir yol” bulduklarını ve kararlı bir saldırganın görmemesi gereken verileri gözetlemesini teknik olarak mümkün kıldıklarını belirtiyolar.
AMD Zen 2 İşlemcilerine Sahip Kişiler Endişelenmeli Mi ?
Muhtemelen endişelenmenize gerek yok. Teknik incelemede, araştırmacılar, Intel’in CPU’larını etkileyen Meltdown tarzı saldırı vektörleriyle karşılaştırıldığında “AMD’nin tasarım kararlarının gerçekten de sömürülebilirlik kapsamını sınırladığını” belirttiler.
Ek olarak, AMD’nin mitigasyonları, yazılım satıcılarının kodlarını, bununla ilgili olası güvenlik açıkları için gözden geçirmeleri içindir. Araştırmacılar, “Potansiyel güvenlik açıklarının bir LFENCE talimatı eklenerek veya mevcut spekülasyon azaltma teknikleri kullanılarak giderilebileceğini” de sözlerine ekledi.