Hertzbleed Güvenlik Açığı AMD ve Intel İşlemcileri Etkiliyor Spectre ve Meltdown olarak isimlendirilen güvenlik açıkları 2017 yılında teknoloji dünyasında işleri karıştırmıştı. Intel, AMD ve ARM işlemciler bundan etkilenirken sistemden bilgi çalmak için önbellek tabanlı yan kanal hücumları kullanıldı. Artık ise frekansları artırabilen her CPU’da gizlenmiş, daha gelişmiş bir yan kanal güvenlik açığı su yüzebir daha çıktı.
“Heartzbleed” olarak isimlendirilen yeni istismar, yonganın yükseltme frekanslarını izlerken zımnî AES şifreleme anahtarlarını çalabiliyor. Bir CPU’daki başka rastgele bir bileşende olduğu üzere, iş yükünün gücü farklı durumlarda işlemcinin frekans ölçeklendirmesine bakılırsa değişiyor. Bu güç bilgisini gözlemlemek, bir saldırganın kriptografik anahtarları çalmasına müsaade vererek vakit içindema bilgilerine dönüştürülebiliyor. Bu süreç, rastgele bir çağdaş işlemcinin bir kesimi olan Dinamik Voltaj Frekans Ölçekleme (DVFS) kullanılarak yapılmakta.
Intel ve AMD, sistemlerinin savunmasız olduğunu ve Heartzbleed istismarından etkilendiğini resmi olarak açıklamıştı. Intel CPU’lar için Intel-SA-00698 ID veCVE-2022-24436 ID üzere iki açıktan bahsediliyor. AMD tarafında ise bu güvenlik istismarı CVE-2022-23823 olarak etiketlendi.
Tüm Intel işlemcilerle birlikte Zen 2 ve Zen 3 mimarili AMD işlemciler Heartzbleed’den direkt etkileniyor. İşin makus yanı, saldırganlar fizikî erişim gerektirmeden bu güvenlik açığından uzaktan yararlanabiliyor. Intel ve AMD, bu cins senaryoları engellemek için mikro kod yamaları sunmayacak. Ek olarak Intel, kriptografik anahtarları çalmanın saatler ve hatta günler sürdüğünü sav ettiği için bu hücumun laboratuvar araştırması haricinde pek pratik olmadığını belirtti. Şayet şirketler açığı yamalamak isterse, performans kayıpları uygulamanın çeşidine bağlı olarak değişecek.
“Heartzbleed” olarak isimlendirilen yeni istismar, yonganın yükseltme frekanslarını izlerken zımnî AES şifreleme anahtarlarını çalabiliyor. Bir CPU’daki başka rastgele bir bileşende olduğu üzere, iş yükünün gücü farklı durumlarda işlemcinin frekans ölçeklendirmesine bakılırsa değişiyor. Bu güç bilgisini gözlemlemek, bir saldırganın kriptografik anahtarları çalmasına müsaade vererek vakit içindema bilgilerine dönüştürülebiliyor. Bu süreç, rastgele bir çağdaş işlemcinin bir kesimi olan Dinamik Voltaj Frekans Ölçekleme (DVFS) kullanılarak yapılmakta.
Intel ve AMD, sistemlerinin savunmasız olduğunu ve Heartzbleed istismarından etkilendiğini resmi olarak açıklamıştı. Intel CPU’lar için Intel-SA-00698 ID veCVE-2022-24436 ID üzere iki açıktan bahsediliyor. AMD tarafında ise bu güvenlik istismarı CVE-2022-23823 olarak etiketlendi.
Tüm Intel işlemcilerle birlikte Zen 2 ve Zen 3 mimarili AMD işlemciler Heartzbleed’den direkt etkileniyor. İşin makus yanı, saldırganlar fizikî erişim gerektirmeden bu güvenlik açığından uzaktan yararlanabiliyor. Intel ve AMD, bu cins senaryoları engellemek için mikro kod yamaları sunmayacak. Ek olarak Intel, kriptografik anahtarları çalmanın saatler ve hatta günler sürdüğünü sav ettiği için bu hücumun laboratuvar araştırması haricinde pek pratik olmadığını belirtti. Şayet şirketler açığı yamalamak isterse, performans kayıpları uygulamanın çeşidine bağlı olarak değişecek.