3DNews (07.03.2025)

Привет!
Это 3DNews и ежедневная рассылка, в которой мы кратко рассказываем, что произошло в мире технологий. Главное за сегодня:

Google выпустила инструментарий для взлома процессоров AMD

• В декабре исследователи Google раскрыли информацию об уязвимости EntrySign (CVE-2024-56161), которая позволяет злоумышленнику с правами администратора загружать в процессоры AMD с архитектурами Zen 1, 2, 3 и 4 произвольный микрокод.
• EntrySign получила высокую оценку опасности (7,2 из 10), поскольку её эксплуатация позволяет злоумышленнику сделать с процессором, всё что угодно: получить доступ к внутренним буферам, ослабить безопасность виртуальных машин, изменить логику работы CPU и проч.
• Теперь исследователи Google опубликовали набор инструментов Zentool, который через уязвимость EntrySign позволяет вносить изменения в процессорный микрокод всем желающим.
• Микрокод определяет, каким образом процессор преобразует x86-код во внутренние инструкции. Поэтому с помощью Zentool можно изменить алгоритмы обработки x86-команд или, например, добавить в систему команд собственные инструкции.
• Уязвимость EntrySign возникла из-за того, что AMD использовала в качестве хеш-функции для проверки валидности микрокода не предназначенную для этого инструкцию AES-CMAC с одинаковым для всех процессоров ключом шифрования. Сам ключ при этом был взят из примера, приведённого в американском ГОСТе на систему шифрования CMAC.
• AMD закрыла уязвимость EntrySign в последних версиях BIOS, но системы, в которых прошивка не обновлялась с декабря 2024 года, остаются уязвимы. Эксплойт затрагивает все линейки процессоров AMD — как серверные Epyc, так и потребительские Ryzen.
• Исследователи предлагают сообществу использовать Zentool для изучения возможностей, которые даёт доступ к микрокоду. В сети, например, популярна шутка о том, что российские разработчики МЦСТ, пользуясь Zentool, смогут сделать «Эльбрус» из любого Ryzen.

А ещё:

Восьмое испытание Starship прошло так же, как седьмое: первая ступень успешно вернулась на стартовый комплекс, а сам корабль потерял управление на этапе выхода на орбиту и эффектно сгорел в атмосфере

Российская криптобиржа Garantex после блокировки кошельков Tether теперь ещё и потеряла домен — его арестовали власти США. Они обвиняют платформу в отмывании денег, содействии преступным организациям и нарушении санкционного режима

Трамп подписал указ о создании стратегического резерва биткоина, который будет формироваться за счёт средств, изъятых правоохранителями. После такой новости биткоин не вырос, а упал ниже $90 тысяч, поскольку оказалось, что закупок криптовалюты в этот резерв не будет

Космический аппарат «Афина» от создателей падающих на бок зондов Intuitive Machines снова упал на бок при посадке на Луну. Миссия скоропостижно завершилась через 12 часов после посадки, поскольку аппарат не смог подзарядиться от солнечного света

Apple официально отложила выпуск поумневшей и персонализированной Siri на базе ИИ как минимум до 2026 года (он планировался этой весной). По слухам, разработка зашла в тупик, и компании придётся переделывать всё заново