محققان گوگل اخیراً نقص امنیتی «EntrySign» را در پردازندههای AMD Zen کشف کردهاند که تمامی نسخههای این پردازندهها از Zen 1 تا Zen 4 را تحتتأثیر قرار میدهد. این آسیبپذیری به مهاجمان امکان میدهد با دسترسی مدیر سیستم (Administrator)، سیستمهای تأیید رمزنگاری پردازندههای AMD را دور بزنند و میکروکدهای دلخواه خود را اجرا کنند.
طبق گزارش «Techspot»، ایامدی از «AES-CMAC» بهعنوان تابع هش در فرایند تأیید امضا استفاده کرده است. این تابع که برای احراز هویت پیام (MAC) طراحی شده برای استفاده بهجای تابع هش مناسب نیست؛ به همین دلیل، محققان گوگل متوجه شدند AMD از نمونهکلیدهای «NIST» که بهصورت عمومی در دسترس است، استفاده کرده است. این امر به مهاجمان این امکان را میدهد که امضاهای دیجیتال را جعل کرده و میکروکدهای خود را روی پردازندهها اعمال کنند. این آسیبپذیری تغییراتی در عملکرد پردازندههای AMD، ازجمله دستکاری دستورالعملهای «RDRAND» برای تولید مقادیر تصادفی تعیینشده ایجاد میکند.
برای مقابله با این تهدید امنیتی، تیم امنیتی گوگل ابزار «zentool» را منتشر کرده است که جعبهابزار متنباز (Open-Source) برای محققان است. این ابزار به محققان اجازه میدهد میکروکدهای سفارشی ایجاد، امضا و در پردازندههای آسیبپذیر اعمال کنند. Zentool علاوهبر توانایی مهندسی معکوس میکروکد، امکاناتی برای ایجاد و امضای دیجیتال کدهای میکروکد بهمنظور توسعه ویژگیهای امنیتی مشابه برای پردازندههای اینتل فراهم میآورد.
در پاسخ به این مشکل، AMD بهروزرسانیهایی منتشر کرده که شامل جایگزینی روتین تأیید قبلی با تابع هش ایمن است. این بهروزرسانیها از پردازنده امنیتی «AMD Secure Processor» استفاده میکنند تا قبل از پردازش میکروکد توسط هستههای x86، روتین فرایند تأیید بهروزرسانی شود. این بهروزرسانی بهطور قابل توجهی امنیت پردازندهها را در برابر حملات تأمین میکند.
بااینکه این نقص نیاز به دسترسی مدیر سیستم دارد و فقط پس از روشن شدن مجدد سیستم از بین میرود، همچنان برای محیطهای حساس مانند محاسبات محرمانه (Confidential Computing) که از فناوریهایی مانند «SEV-SNP» و «DRTM» استفاده میکنند، تهدیدی جدی به شمار میرود.
هواوی برای متزلزلکردن جایگاه انویدیا در بازار تراشههای AI چین آماده میشودهوش مصنوعیسخت افزارکسب و…
درحالحاضر کامپیوترهای کوانتومی کاربردهای عمومی پیدا نکردهاند اما در آینده با دسترسی بیشتر به این…
آپدیت بزرگ تراشههای Arrow Lake اینتل، تأثیری بر عملکرد آنها در لینوکس نداردمطالب پردازندهسخت افزاریکشنبه…
یکی از تولیدکنندگان کیس کامپیوتر از صادرات محصول به آمریکا کنار کشیدکسب و کارسخت افزارفناورییکشنبه…
کارت گرافیک RTX 5070 Ti اورکلاک شد؛ ارائه ۷ درصد عملکرد بهترمطالب کارت گرافیک و…
بهترین ابزارها برای دانلود آهنگ از اینستاگرامآموزشاینترنت و شبکهشبکههای اجتماعییکشنبه ۷ اردیبهشت ۱۴۰۴ - ۱۲:۳۰مطالعه…