TH



TH
BigGo Magเกี่ยวกับเราร่วมงานกับเราติดต่อเราข้อกำหนดผู้ใช้ศูนย์ช่วยเหลือ
© 2025 BigGo
ติดตั้ง
ดาวน์โหลดแอป
ข่าว
เทคโนโลยี
ความปลอดภัย
ส่วนประกอบคอมพิวเตอร์
ซีพียู
บริษัท
AMD

ช่องโหว่ไมโครโค้ดของซีพียู AMD จุดประเด็นถกเถียงด้านความปลอดภัยของ RDRAND

BigGo Editorial Team
ช่องโหว่ไมโครโค้ดของซีพียู AMD จุดประเด็นถกเถียงด้านความปลอดภัยของ RDRAND

ช่องโหว่ที่เพิ่งถูกเปิดเผยในการตรวจสอบลายเซ็นไมโครโค้ดของซีพียู AMD ได้จุดประเด็นการถกเถียงอย่างเข้มข้นในชุมชนด้านเทคนิค โดยเฉพาะผลกระทบต่อการสร้างตัวเลขสุ่มและความปลอดภัยของระบบ ช่องโหว่นี้ส่งผลกระทบต่อซีพียูตั้งแต่ Zen 1 ถึง Zen 4 ทำให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบสามารถโหลดแพตช์ไมโครโค้ดที่เป็นอันตรายได้ ซึ่งสร้างความกังวลเกี่ยวกับความปลอดภัยของการทำงานด้านการเข้ารหัส

ฮาร์ดแวร์ที่ได้รับผลกระทบ:

  • AMD Zen 1
  • AMD Zen 2
  • AMD Zen 3
  • AMD Zen 4

ข้อถกเถียงเรื่อง RDRAND

การสาธิตแนวคิดการโจมตีที่บังคับให้คำสั่ง RDRAND ส่งคืนเลข 4 อย่างต่อเนื่อง ได้จุดประเด็นการถกเถียงเรื่องการสร้างตัวเลขสุ่มระดับซีพียูขึ้นมาอีกครั้ง การอภิปรายในชุมชนเผยให้เห็นว่าแม้ Linux จะใช้ RDRAND เป็นเพียงหนึ่งในแหล่งที่มาของค่าสุ่มหลายแหล่ง แต่ช่องโหว่นี้ได้เผยให้เห็นความกังวลที่ลึกซึ้งเกี่ยวกับความน่าเชื่อถือระดับซีพียู ดังที่ผู้เชี่ยวชาญด้านเทคนิคท่านหนึ่งได้แสดงความเห็นว่า:

ประเด็นคือ วิธีอื่นๆ ทั้งหมดที่สามารถบุกรุกเคอร์เนลผ่านไมโครโค้ดนั้น อย่างน้อยก็สามารถตรวจจับได้ในทางทฤษฎี แต่ถ้า RDRAND แทนที่ตัวเลขสุ่มทั้งหมดของคุณด้วย AES ของเวลาปัจจุบันอย่างลับๆ คุณจะไม่สามารถตรวจพบได้จากการสังเกตพฤติกรรม

ผลกระทบต่อความปลอดภัยบนคลาวด์

ช่องโหว่นี้มีความสำคัญเป็นพิเศษสำหรับสภาพแวดล้อมการประมวลผลบนคลาวด์ที่ใช้ AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) ผู้ให้บริการคลาวด์และผู้ใช้กำลังเผชิญกับปัญหาการตรวจสอบความน่าเชื่อถือ แม้ว่า AMD ได้จัดเตรียมกลไกผ่านค่า TCB ในรายงานการรับรอง SNP เพื่อยืนยันการใช้งานการแก้ไขแล้วก็ตาม

ความเข้าใจทางเทคนิคและผลกระทบในอนาคต

การตอบสนองของชุมชนชี้ให้เห็นถึงผลกระทบที่น่าสนใจนอกเหนือจากประเด็นด้านความปลอดภัย นักวิจัยระบุว่าความสามารถในการโหลดไมโครโค้ดที่กำหนดเองอาจช่วยพัฒนาความพยายามในการวิศวกรรมย้อนกลับซีพียู แม้ว่าจะต้องพิจารณาถึงความเสี่ยงด้านความปลอดภัยควบคู่กันไป การเปิดเผยช่องโหว่นี้ดูเหมือนจะถูกเร่งให้เร็วขึ้นจากการรั่วไหลโดยไม่ตั้งใจใน BIOS เบต้าของ ASUS ซึ่งเพิ่มอีกแง่มุมหนึ่งให้กับเรื่องราวนี้

ลำดับเวลา:

  • รายงานเหตุการณ์: 25 กันยายน 2567
  • แก้ไขเสร็จสิ้น: 17 ธันวาคม 2567
  • เปิดเผยข้อมูล: 3 กุมภาพันธ์ 2568
  • เปิดเผยรายละเอียดทั้งหมด: 5 มีนาคม 2568

การบรรเทาผลกระทบและการกู้คืนความเชื่อมั่น

AMD และผู้ให้บริการคลาวด์รายใหญ่กำลังทำงานเพื่อแก้ไขช่องโหว่นี้ โดยได้แจกจ่ายการแก้ไขภายใต้การห้ามเปิดเผยให้กับลูกค้าสำคัญแล้ว อย่างไรก็ตาม เหตุการณ์นี้ได้ยกประเด็นคำถามพื้นฐานเกี่ยวกับความน่าเชื่อถือของฮาร์ดแวร์และการตรวจสอบ ชุมชนด้านความปลอดภัยเน้นย้ำว่าการสร้างความเชื่อมั่นในระบบที่ได้รับผลกระทบจะต้องใช้มากกว่าการแพตช์อย่างง่าย โดยเฉพาะอย่างยิ่งสำหรับงานที่ต้องการความปลอดภัยสูง

อ้างอิง: AMD: Microcode Signature Verification Vulnerability

ข่าวที่เกี่ยวข้อง