4.9средняя
BDU:2022-03602 (CVE-2022-23823)
Уязвимость реализации технологии динамического масштабирования напряжения и частоты (Dynamic Voltage and Frequency Scaling (DVFS)) микропрограммного обеспечения процессоров AMD, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2022-06-23
Описание
Уязвимость реализации технологии динамического масштабирования напряжения и частоты (Dynamic Voltage and Frequency Scaling (DVFS)) микропрограммного обеспечения процессоров AMD связана с неправильной защитой физических побочных каналов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, используя побочный канал
Затрагиваемое ПО и версии
1st Gen AMD EPYC2nd Gen AMD EPYCAMD Ryzen 2000 series DesktopAMD Ryzen 3000 Series DesktopAMD Ryzen 4000 Series Desktop processors with Radeon graphics2nd Gen AMD Ryzen Threadripper3rd Gen AMD Ryzen ThreadripperAMD Ryzen Threadripper PRO processorsAMD Ryzen 2000 Series Mobile processor2nd Gen AMD Ryzen Mobile processor with Radeon graphicsAMD Ryzen 3000 Series Mobile processor with Radeon graphicsAMD Ryzen 4000 Series Mobile processors with Radeon graphicsAMD Ryzen 5000 Series Mobile processor with Radeon graphicsAMD Athlon Mobile processor with Radeon graphicsAMD Athlon X4 processor7th Generation AMD A-Series APUsAMD Ryzen 3000 Series Mobile processor
Способ устранения
Компенсирующие меры:
Разработчики могут использовать маскирование или смену ключей для уменьшения утечек по побочным каналам на основе анализа мощности при атаках Hertzbleed.
Исследователи предполагают, что отключение функции повышения частоты в большинстве случаев поможет смягчить атаки Hertzbleed за счет предотвращения утечки информации.
Отключение режимов: "Turbo Boost", "Turbo Core" или "Precision Boost" (что может повлиять на производительность системы).
Оценка CVSS
| Балл | 4.9 — средняя опасность |
Источники и патчи