Spectre ve Meltdown olarak adlandırılan güvenlik açıkları 2017 yılında teknoloji dünyasında işleri karıştırmıştı. Intel, AMD ve ARM işlemciler bundan etkilenirken sistemden bilgi çalmak için önbellek tabanlı yan kanal saldırıları kullanıldı. Şimdi ise frekansları artırabilen her CPU’da gizlenmiş, daha gelişmiş bir yan kanal güvenlik açığı su yüzeyine çıktı.
“Heartzbleed” olarak adlandırılan yeni istismar, yonganın yükseltme frekanslarını izlerken gizli AES şifreleme anahtarlarını çalabiliyor. Bir CPU’daki diğer herhangi bir bileşende olduğu gibi, iş yükünün gücü farklı durumlarda işlemcinin frekans ölçeklendirmesine göre değişiyor. Bu güç bilgisini gözlemlemek, bir saldırganın kriptografik anahtarları çalmasına izin vererek zamanlama verilerine dönüştürülebiliyor. Bu işlem, herhangi bir modern işlemcinin bir parçası olan Dinamik Voltaj Frekans Ölçekleme (DVFS) kullanılarak yapılmakta.
Intel ve AMD, sistemlerinin savunmasız olduğunu ve Heartzbleed istismarından etkilendiğini resmi olarak açıklamıştı. Intel CPU’lar için Intel-SA-00698 ID veCVE-2022-24436 ID gibi iki açıktan bahsediliyor. AMD tarafında ise bu güvenlik istismarı CVE-2022-23823 olarak etiketlendi.
Tüm Intel işlemcilerle birlikte Zen 2 ve Zen 3 mimarili AMD işlemciler Heartzbleed’den doğrudan etkileniyor. İşin kötü yanı, saldırganlar fiziksel erişim gerektirmeden bu güvenlik açığından uzaktan yararlanabiliyor. Intel ve AMD, bu tür senaryoları engellemek için mikro kod yamaları sunmayacak. Ek olarak Intel, kriptografik anahtarları çalmanın saatler ve hatta günler sürdüğünü iddia ettiği için bu saldırının laboratuvar araştırması dışında pek pratik olmadığını belirtti. Eğer şirketler açığı yamalamak isterse, performans kayıpları uygulamanın türüne bağlı olarak değişecek.
