Google'ın güvenlik araştırmacıları, Zen 1'den Zen 4'e kadar tüm AMD Zen işlemcilerinde ciddi bir güvenlik açığı olduğunu tespit etti. Saldırganlar, yerel yönetici erişimiyle, tüm bilgi işlem iş yüklerini gizlilik ve bütünlük açısından riske atabilecek kötü amaçlı mikrokod yamaları enjekte edebilir. Hedef CPU'lar, zayıf olduğu bilinen hash tekniklerini kullanarak mikrokod imza kontrollerinden yararlanmıştır.

Bu güvenlik açığı, özellikle AMD'nin Güvenli Şifreli Sanallaştırma ve Dinamik Güven Kökü Ölçümüne dayanan ortamlar için ciddi bir risk oluşturmaktadır. Saldırganlar mikrokod güncellemelerini manipüle ederek güvenlik önlemlerini atlatabilir ve hassas verilere yetkisiz erişim sağlayabilir.

Google'ın Açıklaması ve AMD'nin Yanıtı

Google, sorunu ilk olarak 25 Eylül 2024 tarihinde AMD'ye bildirmiştir. Bunun üzerine AMD, 17 Aralık 2024 tarihinde ambargolu bir düzeltme geliştirdi ve müşterilerine dağıttı. Kullanıcıların gerekli yamaları uygulamak için yeterli zamana sahip olmalarını sağlamak için Google, kamuya açıklamayı 3 Şubat 2025'e kadar erteledi. Şirket, kullanıcılar düzeltmeyi uygulamadan önce daha fazla istismarı önlemek için ek teknik ayrıntıların 5 Mart 2025'e kadar yayınlanmayacağını belirtti.

AMD Zen İşlemcileri Korumak için Adımlar

AMD, güvenlik açığı için bir yama önerdi ve tavsiye notunda düzeltmeleri ve uygulamalarını açıkladı. Temelde, hafifletici bir Microcode BIOS güncellemesi içermeleri gerekmektedir. Kullanıcıların bu tür bir hafifletme elde etmek için ilgili OEM'lerinden gerekli ürün yazılımı paketlerini indirmeleri ve yüklemeleri gerekecektir. Güncellemeden sonra güvenlik özelliklerini ve önlemlerini uygulamak için sistemin yeniden başlatılması hayati önem taşımaktadır.

Bu güncellemenin uygulanmaması, sistemlerin saldırıya uğraması riskini doğurur, bu nedenle hafifletme bir öncelik olmalıdır. AMD Zen CPU'ları kullananlar için, hafifletici güvenlik güncellemeleri hassas verilerin gizliliğini korurken sistemlerin bütünlüğünü güvence altına almaya yardımcı olacaktır.

Bir dizi siber güvenlik tehdidinin ortasında savunma stratejileri konusunda güncel kalmak önemlidir. AMD'nin resmi iletişimlerini takip etmek ve önerilen uygulamaları kullanmak, bu sorunun ele alınmasına ve güvenlik riskinin azaltılmasına yardımcı olacaktır.