以色列安全公司公布Ryzen13个漏洞,24小时回复期限打个AMD措手不及
这一年来 AMD 的 Ryzen 系列可以说是推出后势如破竹,在各领域上都获得使用者的肯定,眼看着第二代 Ryzen 处理器也即将发表,却有一家名不见经传的以色列安全公司表示发现 Ryzen 上的 13 个安全漏洞,并且要求在 24 小时内提出回复,目前 AMD 正在核查证实这些问题。
以色列安全公司公布 Ryzen 13个漏洞,24小时回复期限打个 AMD 措手不及
之前的 Meltdown 与 Spectre 两大漏洞问题,把现代高效能处理器的潜在安全漏洞完全揭露出来,特别是那些用来处理公司重要业务核国际级架构核心关键的处理器影响甚钜,更是让各家企业人心惶惶。近日在以色列的一家安全公司 CTS-Labs 提出一份白皮书,里面表示找到了包含 Ryzen、EPYC、Ryzen Pro 和 Ryzen Mobile 处理器产品线的四种类型潜在漏洞,并且要求 AMD 于 24 小时内提出回应,而不是标准程序中的 90 天静默期,甚至就连快人快语的 Linux 之父 Linus Torvalds 也对这种反常的闪电快速做法表示极度不满 。
这四个问题分别出在 MasterKey、Ryzenfall、Fallout 和 Chimera 上,根据 CTS-Labs 的研究报告,下面做一下简单的说明:
1. MasterKey
当系统启动时通常会经历一个安全流程,检查电脑中的任何内容是否遭窜改,并且仅启动可信任的程式, MasterKey 会绕过这道开机检查,在电脑的 BIOS 与安全处理器(secure processor )上安装恶意软件,进而达到完全控制开机过程中执行那些程式的作用,从这项还能够禁用芯片上的安全功能。
2. Ryzenfall
CTS-Labs 表示这项漏洞特别针对了 AMD 的 Ryzen 系列,并且允许恶意软件完全接管安全处理器(secure processor ),等于让攻击者能够造访那些受到保护的资讯,包括加密密钥和密码,这些区块都是正常攻击者无法进入的区域。如果攻击者可以绕过 Windows Defender Credential Guard,他们可以使用被盗走的数据将攻击传播到网录路中的其他电脑。
3. Fallout
与前一样一样,Fallout 也是让攻击者造访受保护的数据,甚至包含 Credential Guard,但这个漏洞只会影响到使用 AMD EPYC 的安全处理器(secure processor ),主要用在数据中心、 云端服务器,连接世界各地工业用电脑,如果攻击者使用这项漏洞将可窃取储存在网络中的所有凭证。CTS-Labs 首席首席执行官表示:“这些网络凭证存储在一个独立的虚拟机中,无法通过标准的骇客工具造访。Fallout 发生的状况则是虚拟机之间的隔离被打破了。
4. Chimera
这一项来自两个不同的漏洞,一个是硬件,另一项则是固件。CTS-Labs 宣称,Ryzen芯片组本身允许恶意软体运行。研究人员说,由于 Wi-Fi、网络和 蓝牙通讯流经芯片组,攻击者可以利用它来感染你的设备,在概念证明演示中,可以安装键盘记录程序,这将允许攻击者查看在受感染的电脑上输入的所有内容。固件问题意味着攻击者可能会将恶意软件安装到处理器本身。
目前 AMD 还在检查这些问题,虽然有许多人产生各种小公司刷存在感的阴谋疑虑,但安全研究室 Tril of Bits 创办人 Dan Guido 跳出来表示收到 CTS-Labs 的请求,希望协助重新审视这些漏洞,在研究后发现这 13 个漏洞都是真的。
此外,CTS-Labs 还表示 AMD 委由台湾祥硕(ASMedia)代工的 Ryzen 芯片组则内含可允许骇客注入恶意程式的后门,目前祥硕尚未有回应。AMD 目前正在核查并解决这些问题,目前还没有完整的解决方案,但 AMD 也提出不满,表示在该公司公布此一白皮书的前一天才刚收到通知,更别提这家默默无名的公司根本没有给予制造商足够的时间去调查与解决就揭露报告的方式与业界处理惯例大相径庭,而 CTS Labs 不仅通知 AMD,还知会了 Microsoft、HP、Dell、美国相关主管机关与部分资安公司。
◎参考资料: Motherboard 、AnandTech 、Reuters 、 CNet
标签: 游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 ggamen游戏财经 科技资讯头条 ggamen科技 ggamen科技资讯 资讯头条 游戏头条 ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 游戏头条
