故意泼脏水?AMD官方回应Zen安全漏洞

· · 293 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

来自以色列的安全机构CTS-Labs突然曝出猛料,声称AMD Zen架构处理器存在四组12个高位安全漏洞,涉及Ryzen、EPYC全线产品。AMD第一时间对此发表了一份官方声明。

“我们刚刚收到一家名为CTS-Labs的公司的报告,声称我们的特定处理器产品可能存在安全漏洞。我们正在积极进行调查和分析。这家公司AMD从未听闻,而且不同寻常的是,这家安全机构直接将自己的发现公布给了媒体,却没有给AMD合理的时间调查和解决问题。安全是AMD的首要职责,我们持续努力确保我们客户的安全,应对新的安全威胁。如有后续进展我们会第一时间公告。”

可以看出,由于事发突然,特别是这些漏洞发现并没有按照行业惯例提前通知并给予90天的静默期,AMD被打了个措手不及,目前还无法完全证实这些漏洞的真伪。

即便是真的存在漏洞,这件事也显得很诡异。

故意泼脏水?AMD官方回应Zen安全漏洞

国外权威硬件媒体AnandTech在报道此事的时候,也首先提出了一系列质疑:

  1. CTS-Labs只给了AMD 24小时的时间知晓问题所在,而行业标准都是在漏洞发现后,提前联系涉事公司,并且要等90天才会对外公开,以便修复解决,而且初期不会披露漏洞技术细节。
  2. 在告知AMD和公开之前,CTS-Labs首先联系了一些媒体,向他们通报情况。
  3. CTS-Labs 2017年才刚刚成立,资质尚浅,这只是他们的第一份公开安全报告,也未公开自己的任何客户。
  4. CTS-Labs并没有自己的官方网站,公布此次漏洞却专门建立了一个名为AMDFlaws.com的网站,还是2月22日刚刚注册的。
  5. 从网站布局看,很像是已经提前准备了很久,并未考虑AMD的回应。
  6. CTS-Labs还雇佣了一个公关公司来回应业界和媒体联系,这并非正常安全公司的风格。

AnandTech就这些疑问向CTS-Labs发去邮件查询,尚未得到任何回应。

故意泼脏水?AMD官方回应Zen安全漏洞

很多人可能会和此事将近来闹得沸沸扬扬的Meltdown熔断、Spectre幽灵漏洞相比,但后者是Google等权威安全团体早就确认的,而且第一时间和Intel、AMD、ARM、微软、亚马逊等等业内相关企业都做了联系沟通,共同解决,最后媒体踢爆属于意外曝料,而且当时距离解禁期已经很近了。

另外值得注意的是,这次曝光的漏洞,都是涉及AMD Zen处理器内部的安全协处理器(ARM A5架构模块)和芯片组(祥硕给AMD外包做的),和Zen微架构本身并无任何关系,并非核心级别问题。

还有媒体报道指出,攻击者如果要利用这些漏洞,都必须提前获取管理员权限,然后才能通过网络安装恶意软件,危害程度并不是最高的,属于二等漏洞。

这一年来AMD处理器可以说是气势如虹,不断在各个领域取得突飞猛进,得到了行业和用户的普遍认可。眼下第二代Ryzen CPU也即将发布,却突然出现这么一件很诡异的漏洞事件,背后有什么不为人知的故事?确实值得玩味。

后续进展,我们将持续保持关注。

关注本站微信公众号(和以上内容无关)InfraPub ,扫码关注:InfraPub

293 次点击  
加入收藏 微博
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传