Bezpečnostní výskumníci z izraelskej technologickej firmy CTS Labs zverejnili zoznam 13 kritických bezpečnostných chýb a zadných vrátok výrobcu v najnovších zostavách procesorov AMD, ktoré budú mať pravdepodobne hlbšie dôsledky Nedostatky Meltdown a Spectre od Intelu.
Správa s názvom „Závažné bezpečnostné odporúčanie pre procesory AMD“, tvrdia, že bezpečnostné chyby ovplyvňujú AMD EPYC, Ryzen, Ryzen Pro a Ryzen Mobile riadkov procesorových čipov, ale jedinou záchranou – ak sa to tak dá nazvať – je to vyžaduje, aby potenciálny útočník získal prístup správcu do zariadení, aby mohli umiestniť malvér.
Podľa bezpečnostného tímu stojaceho za objavom sú týmito zraniteľnosťami ovplyvnení všetci spotrebitelia používajúci tieto čipy vo svojich stolných počítačoch, notebookoch, serveroch a pracovných staniciach. Oficiálna webová stránka amdflaws.com hovorí nám všetko o zraniteľnostiach, ktoré by mohli hackerom umožniť potenciálne inštalovať malvér, ktorý odoláva všetkým pokusom o ich odhalenie alebo odstránenie.
Bezpečnostné chyby
Tím CTS vo svojej správe podrobne opísal štyri triedy zraniteľností – napr. Masterkey, Ryzenfall, Fallout a Chimera. To všetko potvrdil Dan Guido, zakladateľ bezpečnostnej firmy „Trail of Bits“, ktorého výskumníci preskúmali chyby a kódy využívania PoC pre každú sadu chýb.
Bez ohľadu na humbuk okolo vydania sú chyby skutočné, presne opísané v ich technickej správe (ktorá nie je verejná) a ich exploit kód funguje.
— Dan Guido (@dguido) 13. marca 2018
Podľa článku publikovaného výskumníkmi je veľa bezpečnostných chýb schopných prežiť reštart počítača a dokonca aj preinštalovanie operačného systému, “pričom väčšina riešení zabezpečenia koncových bodov zostáva prakticky nezistiteľná. To môže útočníkom umožniť zahrabať sa hlboko do počítačového systému a potenciálne sa zapojiť do trvalej, prakticky nezistiteľnej špionáže..
Kontroverzia
CTS Labs berie veľa ohňa od odborníkov z odvetvia a analytikov kybernetickej bezpečnosti za to, že idú proti konvenciám a zverejnenie podrobností len deň po ich zverejnení spoločnosti AMD, čo sotva dáva spoločnosti šancu vydať bezpečnosť náplasti.
CTS zo svojej strany zverejnila an neobvykle dlhé vylúčenie zodpovednosti, hovoriac, že to „môže mať, či už priamo alebo nepriamo, ekonomický záujem na výkonnosti cenných papierov spoločností, ktorých produkty sú predmetom našich správ“, čo vyvolalo u mnohých špekulácie, že spoločnosť sa možno snaží tento problém vylepšiť, aby negatívne ovplyvnila ceny akcií AMD.
Vyhlásenie AMD
Výrobca čipov medzitým vydal vyhlásenie, v ktorom uviedol: „V AMD je bezpečnosť najvyššou prioritou a neustále pracujeme na zaistení bezpečnosti našich používateľov, keď sa objavia nové riziká. Skúmame túto správu, ktorú sme práve dostali, aby sme pochopili metodológiu a hodnotu zistení.“.
Odporúčané články
