回归最本质的信息安全

;

AMD对上周的安全漏洞做出了回应并采取修复措施

2018年3月22日发布

38,370
0
2

导语:AMD对上周二以色列安全公司CTS-Labs发布AMD的13个高位安全漏洞进行了回应并采取修复措施。

u=2913389933,1426766832&fm=27&gp=0.jpg

上周二,在以色列安全公司CTS-Labs发布的一份安全白皮书中,AMD Zen CPU架构被指出存在多达13个高位安全漏洞,危害程度丝毫不亚于Meltdown和Specte。

但由于CTS-Labs是在公开披露这些漏洞之前的前一天才通知的AMD,所以当时AMD并没有时间来确认这些报告中的漏洞是否真实存在。

而现在,AMD已经对这些漏洞确认完毕,他们也承认AMD Ryzen桌面处理器、Ryzen Pro企业处理器、Ryzen移动处理器、和EPYC数据中心处理器确实存在报告中的漏洞。

不过AMD强调,首先,被曝光的这13个高危漏洞与Intel的Meltdown和Specter没有任何关系。其次,存在安全风险的是嵌入式的安全控制芯片(32位Cortex-A5架构)的固件和搭载该模块的部分芯片组(AM4、TR4等),而并非Zen架构本身。最后,由于攻击者必须掌握管理员权限,才能实施攻击,因此攻击的难度是很高的。

f6QE-fyskeuc9955665.jpg

在本周二的AMD官方博客上,AMD高级副总裁兼首席技术官Mark Papermaster对所存在的漏洞的严重程度进行了说明,并承诺对存在安全风险的固件进行修复。以下就是官方的表态:

需要指出的是,CTS-Labs报告中提出的所有漏洞都需要得到系统的管理访问权限,如果攻击者一旦得到权限,就可能会允许基于固件的恶意软件完全控制系统,而且非常难以检测或删除。这种恶意软件可能通过直接内存访问(DMA)操纵操作系统,这样攻击者就可以对用户的系统进行无限制访问,并随意删除、创建或修改用户电脑里的任何文件夹或文件,甚至更改原先的设置。不过对于任何获得未经授权的管理访问权的攻击者来说,要确定他们的攻击范围还需要一段时间。不过最新的操作系统和虚拟机管理程序都有额外的安全控制方案,如Microsoft Windows Credential Guard,可以防止攻击者利用所发现的漏洞所进行的权限升级。

Mark Papermaster指出上周安全研究公司Trail of Bits的首席执行官丹-圭多(Dan Guido)也在Twitter上表示,在发布漏洞信息之前,CTS已经委托他的团队对它们的调查结果进行了审查,验证了这些问题是真实存在的,不过Guido的说法和Papermaster非常相似,表示这些漏洞不容易被利用。

Guido表示:

绝大多数用户都没有被利用这些漏洞的风险。即使CTS已经发布了全部技术细节,攻击者也需要投入大量的开发工作来构建利用这些漏洞的攻击工具。

目前AMD初步将漏洞划分为三类,分别是“Masterkey”、“RyzenFall/Fallout”和“Chimera”,前两者涉及安全芯片,后者则涉及芯片组。

AMD表示Masterkey,RyzenFall/Fallout的漏洞可通过BIOS更新来提供固件补丁,并且他们还将在未来几周为其安全处理器(PSP)提供固件修复。此外AMD还强调升级更新的处理器不会有性能上的任何改变,请放心升级。

amd_bloodbath.webp.jpg

另外,Chimera同样也可通过BIOS更新解决,由于CHIMERA(v1,v2)AMD漏洞实际上是AMD的Promontory芯片组内的隐藏制造商后门,这是Ryzen和Ryzen Pro工作站的一个组成部分。所以AMD的设计人员正在与第三方供应商合作,寻找适当的缓解措施。

本文翻译自:https://www.theregister.co.uk/2018/03/21/amd_brushes_off_chip_flaws/如若转载,请注明原文地址: http://www.4hou.com/info/news/10800.html

点赞 2
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

luochicun

这个人很懒,什么也没留下

发私信

发表评论