Celah keamanan sebuah produk akan menjadi hal vital yang harus segera di tindak lanjuti karena akan berakibat fatal bagi sang pemilik produk dan juga keamanan data para pengguna AMD .
Ada celah keamanan yang baru ditemukan di jajaran prosesor AMD dengan arsitektur Zen 2, termasuk Ryzen 5 3600 yang populer.
Celah ini bisa mencuri data sensitif seperti password dan kunci enkripsi. Celahnya didaftarkan dengan nama CVE-2023-20593, dan ditemukan oleh Tavis Ormandy, peneliti keamanan dari Google, yang mempublikasikan temuannya ini lewat blog resmi Google — setelah sebelumnya melaporkan celahnya ke AMD.
Semua produk prosesor Zen 2 terdampak dari celah ini, termasuk Ryzen 3000/4000/5000 sampai prosesor terbarunya, 7020. Prosesor data center seperti EPYC Rome dan Ryzen Pro 3000/4000 pun ikut terdampak dari celah ini.
AMD sendiri sudah mengetahui soal celah keamanan ini dan mengaku sudah menyiapkan patch untuk menambalnya. Namun tampaknya patch tersebut tak akan dirilis dalam waktu dekat.
Berdasarkan CloudFlare, Zenbleed tak membutuhkan akses secara fisik ke sistem komputer yang mau diinfeksi. Proses eksekusinya pun bisa dilakukan secara remote menggunakan Javascript dari laman situs.
Jika serangannya sukses, celah ini bisa mengirimkan data sebesar 30kb per core per detik. Cukup cepat untuk mencuri data sensitif dari software apa pun yang berjalan di dalam sistem, termasuk virtual machine, sandbox, dan lain sebagainya.
Zenbleed juga bisa beroperasi tanpa terdeteksi karena tak membutuhkan akses khusus untuk bisa dieksploitasi. “Saya belum mengetahui teknik yang tepat untuk mendeteksi eksploitasi ini,” kata Ormandy.
Oh ya, celah ini punya sejumlah kemiripan dengan celah Spectre yang sempat membuat heboh. Bedanya, celah ini lebih mudah dieksekusi, yang membuatnya juga mirip celah Meltdown.
Sejauh ini AMD sudah merilis patch microcode untuk prosesor Epic 7002 dan menyarankan pengguna untuk menggunakan patch tersebut, juga memperbarui BIOS yang berisi firmware AGESA yang baru dirilis pada Oktober 2023. Sementara patch untuk jajaran prosesor desktop seperti Ryzen 3000 dan 400 baru akan dirilis pada Desember 2023, begitu juga jajaran Ryzen 4000 dan 7020.
