Spectre ve Meltdown olarak isimlendirilen güvenlik açıkları 2017 yılında teknoloji dünyasında işleri karıştırmıştı. Intel, AMD ve ARM işlemciler bundan etkilenirken sistemden bilgi çalmak için önbellek tabanlı yan kanal atakları kullanıldı. Artık ise frekansları artırabilen her CPU’da gizlenmiş, daha gelişmiş bir yan kanal güvenlik açığı su yüzeyine çıktı.
“Heartzbleed” olarak isimlendirilen yeni istismar, yonganın yükseltme frekanslarını izlerken zımnî AES şifreleme anahtarlarını çalabiliyor. Bir CPU’daki öbür rastgele bir bileşende olduğu üzere, iş yükünün gücü farklı durumlarda işlemcinin frekans ölçeklendirmesine nazaran değişiyor. Bu güç bilgisini gözlemlemek, bir saldırganın kriptografik anahtarları çalmasına müsaade vererek zamanlama datalarına dönüştürülebiliyor. Bu süreç, rastgele bir çağdaş işlemcinin bir kesimi olan Dinamik Voltaj Frekans Ölçekleme (DVFS) kullanılarak yapılmakta.
Intel ve AMD, sistemlerinin savunmasız olduğunu ve Heartzbleed istismarından etkilendiğini resmi olarak açıklamıştı. Intel CPU’lar için Intel-SA-00698 ID veCVE-2022-24436 ID üzere iki açıktan bahsediliyor. AMD tarafında ise bu güvenlik istismarı CVE-2022-23823 olarak etiketlendi.
Tüm Intel işlemcilerle birlikte Zen 2 ve Zen 3 mimarili AMD işlemciler Heartzbleed’den direkt etkileniyor. İşin berbat yanı, saldırganlar fizikî erişim gerektirmeden bu güvenlik açığından uzaktan yararlanabiliyor. Intel ve AMD, bu cins senaryoları engellemek için mikro kod yamaları sunmayacak. Ek olarak Intel, kriptografik anahtarları çalmanın saatler ve hatta günler sürdüğünü tez ettiği için bu akının laboratuvar araştırması dışında pek pratik olmadığını belirtti. Şayet şirketler açığı yamalamak isterse, performans kayıpları uygulamanın tipine bağlı olarak değişecek.
