頻道欄目
首頁 > 安全 > 系統安全 > 正文

AMD 芯片被曝大量安全漏洞,Linux 之父怒評!

2018-03-16 09:25:31           
收藏   我要投稿

沸沸揚揚的英特爾漏洞事件后,近來,計算機芯片制造商 AMD 又被曝存在 13 大安全漏洞,危及 AMD Ryzen 桌面處理器、Ryzen Pro 企業處理器、Ryzen 移動處理器以及 EPYC 數據中心處理器。

3 月 14 日凌晨消息,本周二,以色列安全公司 CTS 在其發布的一份白皮書中指出,AMD 在售的芯片存在 13 個安全漏洞。

當事人之一 CTS 成立于2017年,據該公司的博客顯示,該公司至少有兩名高管曾在以色列情報機構工作過?紤]到該公司缺少技術專門性,CTS 表示此次公布的白皮書只是提供了發現的漏洞的概述,故意沒有提供對于漏洞的完全描述,以防惡意人員“專門去找到此漏洞并嘗試通過此漏洞來攻擊受影響芯片用戶”。

據 CTS 稱,該發現的漏洞將允許惡意代碼在 AMD 安全處理器上運行,這將使攻擊者能偷取機密證書,還可能使得該惡意軟件通過由 Windows 機器組成的網絡進行傳播。另一個將影響 EPYC 服務器的漏洞允許攻擊者對受保護的內存區域進行讀取和寫入操作,這將可能被用來偷取由 Windows Credential Guard 保護機制保護的證書。同時,CTS 還發現了一個針對 AMD Ryzen 處理器的漏洞,該漏洞利用企業軟件和硬件的后門使得攻擊者能注入惡意代碼到處理器中。

AMD 第一時間對此發表了一份官方聲明:

“我們剛剛收到一家名為 CTS-Labs 公司的報告,聲稱我們的特定處理器產品可能存在安全漏洞。目前我們正在積極進行調查和分析。這家公司 AMD 從未聽聞,而且不同尋常的是,這家安全機構直接將自己的發現公布給了媒體,卻沒有給 AMD 合理的時間調查和解決問題。安全是 AMD 的首要職責,我們持續努力確保我們客戶的安全,應對新的安全威脅。如有后續進展我們會第一時間公告。”

雖然這些漏洞本身確實帶有一定的危險性,但整個事件卻在安全界引起了軒然大波?梢钥闯,由于事發突然,特別是這些漏洞發現并沒有按照行業慣例提前通知并給予 90 天的靜默期,AMD 被打了個措手不及,加上它沒有披露與漏洞有關的某些關鍵技術細節,安全界的專家們也表示非常不滿。

此外,外媒 AnandTech 也對此次事件提出了一系列的質疑:

CTS-Labs 只給了 AMD 24 小時的時間知曉問題所在,而行業標準都是在漏洞發現后,提前聯系涉事公司,并且要等 90 天才會對外公開,以便修復解決,而且初期不會披露漏洞技術細節;

在告知 AMD 和公開之前,CTS-Labs 首先聯系了一些媒體,向他們通報了情況;

CTS-Labs 2017 年才剛剛成立,資質尚淺,這只是他們的第一份公開安全報告,也未公開自己的任何客戶;

CTS-Labs 并沒有自己的官方網站,公布此次漏洞卻專門建立了一個名為 AMDFlaws.com 的網站,還是 2 月 22 日剛剛注冊的;

從網站布局看,很像是已經提前準備了很久,并未考慮 AMD 的回應;

另外,CTS-Labs 還雇傭了一個公關公司來回應業界和媒體聯系,這并非正常安全公司的風格。

但是 AnandTech 表示,對于這些疑問,目前它們還未收到 CTS-Labs 的任何消息回應。

一向快人快語的 Linux 之父 Linus Torvalds,對于這種反常做法也公開表達了自己的態度:

640?wx_fmt=jpeg

“看起來,IT 安全行業被刷新了底線。如果你在安全領域工作,自認為還有道德,我覺得你應該在名片上增加一行:‘不,真的,我不是XX。我保證。’”

“我之前覺得整個(安全)行業已經夠墮落的了,但沒想到還能如此無恥。什么時候安全工作者也像個XX一樣要吸引眼球了?”

這一年來,AMD 處理器不斷在各個領域取得突飛猛進,得到了行業和用戶的普遍認可。眼下第二代 Ryzen CPU 也即將發布,卻突然出現這么一件很詭異的漏洞事件,背后的原因確實耐人尋味。

而且報道也指出,攻擊者如果要利用這些漏洞,都必須提前獲取管理員權限,然后才能通過網絡安裝惡意軟件,危害程度屬于二等漏洞。雖然 CTS 聲稱“所有可能被用于復制漏洞的技術細節都已從白皮書中刪除了”,但即使 CTS 將更多細節公布出來,攻擊也是很難實現的。所以總的來說,此次漏洞并不需要過份擔心,尤其是現在 AMD 正在開發相應補丁的情況下。

上一篇:用戶帳戶安全,授權和密碼管理的12個最佳實踐
下一篇:Linux系統ETN挖礦病毒實例分析
相關文章
圖文推薦
熱門新聞

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

加拿大28火车判定方法