Уязвимость BDU:2022-03602

Идентификатор: BDU:2022-03602.
Наименование уязвимости: Уязвимость реализации технологии динамического масштабирования напряжения и частоты (Dynamic Voltage and Frequency Scaling (DVFS)) микропрограммного обеспечения процессоров AMD, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.
Описание уязвимости: Уязвимость реализации технологии динамического масштабирования напряжения и частоты (Dynamic Voltage and Frequency Scaling (DVFS)) микропрограммного обеспечения процессоров AMD связана с неправильной защитой физических побочных каналов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, используя побочный канал
Уязвимое ПО: Микропрограммный код аппаратных компонент компьютера Advanced Micro Devices Inc. 1st Gen AMD EPYC — | Микропрограммный код Advanced Micro Devices Inc. 2nd Gen AMD EPYC — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 2000 series Desktop — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 3000 Series Desktop — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 4000 Series Desktop processors with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. 2nd Gen AMD Ryzen Threadripper — | Микропрограммный код Advanced Micro Devices Inc. 3rd Gen AMD Ryzen Threadripper — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen Threadripper PRO processors — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 2000 Series Mobile processor — | Микропрограммный код Advanced Micro Devices Inc. 2nd Gen AMD Ryzen Mobile processor with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 3000 Series Mobile processor with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 4000 Series Mobile processors with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 5000 Series Mobile processor with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Athlon Mobile processor with Radeon graphics — | Микропрограммный код аппаратных компонент компьютера Advanced Micro Devices Inc. AMD Athlon X4 processor — | Микропрограммный код аппаратных компонент компьютера Advanced Micro Devices Inc. 7th Generation AMD A-Series APUs — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 3000 Series Mobile processor — |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 14.06.2022.
CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)
Возможные меры по устранению:
Компенсирующие меры:
Разработчики могут использовать маскирование или смену ключей для уменьшения утечек по побочным каналам на основе анализа мощности при атаках Hertzbleed.
Исследователи предполагают, что отключение функции повышения частоты в большинстве случаев поможет смягчить атаки Hertzbleed за счет предотвращения утечки информации.
Отключение режимов: "Turbo Boost", "Turbo Core" или "Precision Boost" (что может повлиять на производительность системы)..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-23823. AMD-SB-1038.
Прочая информация: Данная уязвимость относится к семейству атак по частотным побочным каналам, получившему название Hertzbleed.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1038
https://nvd.nist.gov/vuln/detail/CVE-2022-23823
https://bugzilla.redhat.com/show_bug.cgi?id=2097181
https://access.redhat.com/security/cve/cve-2022-23823
https://www.securitylab.ru/news/532295.php
https://www.hertzbleed.com/
https://www.comss.ru/page.php?id=10622
https://vuldb.com/ru/?id.202200



