Ryzen爆10多个高位漏洞，比Intel更惨

xxxyz

小黑屋

帖子: 2471
精华: 0
积分: 23722
激骚: 1672 度
爱车
主机
相机
手机
注册时间: 2012-10-6

TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆

发短消息
加为好友
当前离线

1^# 大中小发表于 2018-3-14 12:51 显示全部帖子

AMD官方回应Zen安全漏洞
2018-03-14 11:23:30
来自以色列的安全机构CTS-Labs突然曝出猛料，声称AMD Zen架构处理器存在四组12个高位安全漏洞，涉及Ryzen、EPYC全线产品。
AMD第一时间对此发表了一份官方声明：
“我们刚刚收到一家名为CTS-Labs的公司的报告，声称我们的特定处理器产品可能存在安全漏洞。我们正在积极进行调查和分析。这家公司AMD从未听闻，而且不同寻常的是，这家安全机构直接将自己的发现公布给了媒体，却没有给AMD合理的时间调查和解决问题。安全是AMD的首要职责，我们持续努力确保我们客户的安全，应对新的安全威胁。如有后续进展我们会第一时间公告。”
可以看出，由于事发突然，特别是这些漏洞发现并没有按照行业惯例提前通知并给予90天的静默期，AMD被打了个措手不及，目前还无法完全证实这些漏洞的真伪。
即便是真的存在漏洞，这件事也显得很诡异。

国外权威硬件媒体AnandTech在报道此事的时候，也首先提出了一系列质疑：
1、CTS-Labs只给了AMD 24小时的时间知晓问题所在，而行业标准都是在漏洞发现后，提前联系涉事公司，并且要等90天才会对外公开，以便修复解决，而且初期不会披露漏洞技术细节。
2、在告知AMD和公开之前，CTS-Labs首先联系了一些媒体，向他们通报情况。
3、CTS-Labs 2017年才刚刚成立，资质尚浅，这只是他们的第一份公开安全报告，也未公开自己的任何客户。
4、CTS-Labs并没有自己的官方网站，公布此次漏洞却专门建立了一个名为AMDFlaws.com的网站，还是2月22日刚刚注册的。
5、从网站布局看，很像是已经提前准备了很久，并未考虑AMD的回应。
6、CTS-Labs还雇佣了一个公关公司来回应业界和媒体联系，这并非正常安全公司的风格。
AnandTech就这些疑问向CTS-Labs发去邮件查询，尚未得到任何回应。

很多人可能会和此事将近来闹得沸沸扬扬的Meltdown熔断、Spectre幽灵漏洞相比，但后者是Google等权威安全团体早就确认的，而且第一时间和Intel、AMD、ARM、微软、亚马逊等等业内相关企业都做了联系沟通，共同解决，最后媒体踢爆属于意外曝料，而且当时距离解禁期已经很近了。
另外值得注意的是，这次曝光的漏洞，都是涉及AMD Zen处理器内部的安全协处理器(ARM A5架构模块)和芯片组(祥硕给AMD外包做的)，和Zen微架构本身并无任何关系，并非核心级别问题。
还有媒体报道指出，攻击者如果要利用这些漏洞，都必须提前获取管理员权限，然后才能通过网络安装恶意软件，危害程度并不是最高的，属于二等漏洞。

TOP