AMD подтвердила новый класс уязвимостей — транзиентные атаки планировщика (TSA), затрагивающие широкий спектр процессоров. Эти спекулятивные каналы утечки данных эксплуатируют аномалии в поведении инструкций при «ложном завершении» операций.
Ключевые уязвимости (CVE):
Источник открытия:
Уязвимости выявлены исследователями Microsoft и ETH Zurich в ходе стресс-тестов изоляции доменов безопасности (виртуальные машины, ядро, процессы).
Затронутые процессоры:
Обновления микрокода выпущены для:
Механика TSA:
При «ложном завершении» оборудование CPU ожидает быстрого выполнения инструкций загрузки, но конфликт задерживает операцию. Зависимые инструкции планируются и исполняются с невалидными данными до обнаружения ошибки. Ключевое отличие от других спекулятивных уязвимостей (например, Predictive Store Forwarding) — отсутствие сброса конвейера.
Два типа TSA:
Сценарии эксплуатации:
Злоумышленник может получить доступ к:
Ограничения атак:
Эксплуатация требует локального выполнения кода злоумышленником. Уязвимости не работают через вредоносные сайты. Из-за кратковременности условий «ложного завершения» надежная атака возможна лишь при многократном вызове уязвимого кода (например, через частые запросы к ядру ОС).
Изображение носит иллюстративный характер
Ключевые уязвимости (CVE):
- CVE-2024-36355 (CVSS 5.6): Позволяет злоумышленнику определить данные предыдущих операций записи, рискуя утечкой привилегированной информации.
- CVE-2024-36357 (CVSS 5.6): Дает возможность выявления данных в кэше L1D, нарушая границы привилегий.
- CVE-2024-36348 (CVSS 3.8): Обходит защиту UMIP[3], разрешая пользовательским процессам спекулятивно считывать управляющие регистры.
- CVE-2024-36349 (CVSS 3.8): Позволяет определить значение TSC_AUX даже при отключенном доступе.
Источник открытия:
Уязвимости выявлены исследователями Microsoft и ETH Zurich в ходе стресс-тестов изоляции доменов безопасности (виртуальные машины, ядро, процессы).
Затронутые процессоры:
Обновления микрокода выпущены для:
- Серверные: EPYC 3-го/4-го поколений, EPYC Embedded 7003/8004/9004/97X4.
- Десктопные: Ryzen 5000/7000/8000 Series (включая модели с Radeon Graphics), Threadripper PRO 7000 WX-Series.
- Мобильные: Ryzen 6000/7035/7040/8040 Series, Ryzen 7000 Series Mobile.
- Встроенные решения: Ryzen Embedded 5000/7000/V3000.
- Ускорители: Instinct MI300A.
Механика TSA:
При «ложном завершении» оборудование CPU ожидает быстрого выполнения инструкций загрузки, но конфликт задерживает операцию. Зависимые инструкции планируются и исполняются с невалидными данными до обнаружения ошибки. Ключевое отличие от других спекулятивных уязвимостей (например, Predictive Store Forwarding) — отсутствие сброса конвейера.
Два типа TSA:
- TSA-L1: Источник невалидных данных — кэш L1. Причина: ошибка микрометок (microtags) при поиске в кэше.
- TSA-SQ: Данные поступают из очереди записи CPU. Нагрузка ошибочно считывает данные из очереди до их готовности.
Сценарии эксплуатации:
Злоумышленник может получить доступ к:
- Данным ядра ОС из пользовательского приложения.
- Информации гипервизора из гостевой виртуальной машины.
- Конфиденциальным данным между двумя приложениями.
Ограничения атак:
Эксплуатация требует локального выполнения кода злоумышленником. Уязвимости не работают через вредоносные сайты. Из-за кратковременности условий «ложного завершения» надежная атака возможна лишь при многократном вызове уязвимого кода (например, через частые запросы к ядру ОС).
