Отраслевой портал электроники «Техниклайф»

22 Июля 2018

AMD работает над исправлением 13 уязвимостей своих чипов

AMD работает над исправлением 13 уязвимостей своих чипов

21.03.2018

13 марта Сеть облетела информация об обнаружении небольшой израильской компанией CTS Labs уязвимостей в чипах AMD. В отличие от обычной практики, специалисты не дали AMD времени, чтобы должным образом подготовиться и эффективно отреагировать. Мотивировали они своё поведение тем, что AMD якобы всё равно не успела бы за 3 месяца (стандартный срок неразглашения) выпустить заплатки, а некоторые аппаратные дыры и вовсе невозможно залатать.

Всё это и другие данные дали повод считать, что CTS Labs, в значительной степени преувеличившая значение угроз, является заинтересованной стороной (как минимум стремящейся сделать имя на скандале). Создатель Linux, в частности, посчитал, что внезапность и поспешность была обусловлена игрой заинтересованных сторон на котировках акций AMD.

Теперь история получила продолжение: AMD опубликовала официальный отчёт с анализом выявленных CTS Labs уязвимостей процессоров Ryzen и EPYC на специальной странице своего сайта. Компания отметила, что заплатки для всех уязвимостей будут выпущены для миллионов устройств в ближайшие недели и никак не скажутся на производительности. Наиболее продолжительное время может занять борьба с Chimera, которая требует внесения исправлений не самой AMD, а сторонним производителем чипсета. Так или иначе, все ошибки требуют внесения изменений в прошивку BIOS.

Другими словами, CTS Labs, по-видимому, оказалась неправа: AMD вполне по силам выпустить заплатки за несколько недель. И если бы компании был дан стандартный срок в 90 дней, а не менее 24 часов, как это случилось на практике, к тому времени вероятнее всего были бы давно доступны обновлённые прошивки BIOS, а многие пользователи их бы уже установили.

Пресс-секретарь AMD Сара Янгбауэр (Sarah Youngbauer) посетовала на этот неприятный факт: «Каждая из перечисленных проблем может быть устранена с помощью исправлений прошивки и стандартного обновления BIOS, которые мы планируем выпустить в ближайшие недели. Мы считаем, что этот случай является ярким примером того, почему существует стандартное 90-дневное окно уведомлений». Компания обещает в ближайшие недели предоставить расширенную информацию об анализе ошибок и исправлениях.

Как сообщают многие специалисты и независимые исследователи, злоумышленникам крайне сложно воспользоваться уязвимостями, о которых заявила CTS Labs. Старший вице-президент и главный технический директор AMD Марк Пейпермастер (Mark Papermaster) подтвердил в своём отчёте, что все выявленные проблемы требуют наличия у хакера административного доступа к системе.

Но это означает по сути неограниченный доступ с правом удалять, создавать или изменять любую из папок или файлов на компьютере, а также менять настройки. Любой злоумышленник, получивший несанкционированный доступ к административным ресурсам, тем самым уже имеет в арсенале целый спектр куда более эффективных и результативных атак. Более подробное описание малой полезности для злоумышленников 13 выявленных уязвимостей под громкими именами Masterkey, Ryzenfall, Fallout и Chimera компания AMD предлагает прочесть в отчёте независимой команды Trail of Bits.

Критики также указывали на правовую оговорку на веб-сайте CTS Labs: «Сообщаем, что мы можем прямо или косвенно быть экономически заинтересованы в показателях ценных бумаг компаний, чьи продукты являются предметом наших отчётов». Но в прошлую среду главный финансовый директор и соучредитель CTS Labs Ярон Лук-Зильберман (Yaron Luk-Zilberman), бывший менеджер хедж-фонда, сказал, что у него нет инвестиций (как краткосрочных, так и долговременных) в Intel или AMD.

Отчёт о безопасности CTS Labs за неделю до передачи в AMD просочился в финансовую компанию Viceroy Research, замеченную ранее в спекуляциях с игрой на понижении. Viceroy призналась, что использовала отчёт, чтобы попытаться снизить курс акций AMD. CTS Labs заявила, что не имеет отношения к Viceroy Research. AMD отказалась комментировать вопросы финансовой мотивации CTS Labs.

Источник:



Источник: оригинал статьи