AMD bekræfter CTS-Labs udnytter: Alt skal lappes i uger

Hvis du har fulgt vores dækning vedrørende de seneste sikkerhedsproblemer, der findes i AMDs processorer og chipsæt af sikkerhedsforskningsfirmaet CTS-Labs, det har været lidt af en doozy. I dag sender AMD på deres hjemmeside, i form af et blogindlæg, resultaterne fra deres indledende analyse, på trods af CTS-Labs, der kun giver dem 1-dages varsel, snarere end industristandarden 60 / 90-dage, da de følte at disse var for vigtige og forventede AMD at rette dem i en langt længere tidsplan. På trods af denne holdning dikterer AMDs blogpost, at alle de fundne problemer kan patcheres og formindskes i de kommende uger uden nogen præstationsforringelse.

Det fremtrædende højt niveau takeaway fra AMD er dette:

  1. Alle problemer kan bekræftes på relateret AMD-hardware, men kræver Admin-adgang til metal
  2. Alle problemer er sat til at blive rettet inden for få uger, ikke måneder, via firmware-patches og BIOS-opdateringer
  3. Ingen præstationspåvirkning forventes
  4. Ingen af ​​disse problemer er Zen-specifikke, men relaterer til PSP- og ASMedia-chipsæt.
  5. Disse er ikke relateret til GPZ-udnyttelserne tidligere i år.

AMD's officielle erklæring er som følger:

Indledende AMD teknisk vurdering af CTS Labs Research

I marts 12, 2018, modtog AMD en meddelelse fra CTS Labs vedrørende forskning i sikkerhedsproblemer, der involverer nogle AMD-produkter. Mindre end 24 timer senere blev forskningsfirmaet offentligt med sine resultater. Sikkerhed og beskyttelse af brugernes data er af største vigtighed for os på AMD, og ​​vi har arbejdet hurtigt for at vurdere denne sikkerhedsforskning og udvikle mindskelsesplaner, hvor det er nødvendigt. Dette er vores første offentlige opdatering af denne forskning og vil dække både vores tekniske vurdering af problemerne samt planlagte afhjælpende foranstaltninger.

Sikkerhedsproblemerne identificeret af tredjepartsforskerne er ikke relateret til AMD "Zen" CPU-arkitekturen, eller Google Project Zero-udnyttelserne blev offentliggjort Jan. 3, 2018. I stedet er disse problemer forbundet med firmwaren, der styrer den indlejrede sikkerhedskontrolprocessor i nogle af vores produkter (AMD Secure Processor) og chipsetet, der anvendes i nogle stik AM4 og socket TR4-desktopplatforme, der understøtter AMD-processorer.

Som beskrevet mere detaljeret nedenfor har AMD hurtigt afsluttet sin vurdering og er i færd med at udvikle og anlægge udnyttelsen af ​​afbødninger. Det er vigtigt at bemærke, at alle de problemer, der rejses i forskningen, kræver administrativ adgang til systemet, en form for adgang, der effektivt giver brugeren ubegrænset adgang til systemet og retten til at slette, oprette eller ændre nogen af ​​mapper eller filer på computer, samt ændre eventuelle indstillinger. Enhver angriber, der får uautoriseret administrativ adgang, ville have en bred vifte af angreb til deres rådighed langt ud over de udbytter, der er identificeret i denne forskning. Desuden har alle moderne operativsystemer og hypervisorer af høj kvalitet i dag mange effektive sikkerhedskontroller, som f.eks. Microsoft Windows Credential Guard i Windows-miljøet, for at forhindre uautoriseret administrativ adgang, der skal overvinde for at kunne påvirke disse sikkerhedsproblemer. En nyttig afklaring af de vanskeligheder, der er forbundet med at udnytte disse problemer med succes, findes i denne udstationering fra Trail of Bits, et uafhængigt sikkerhedsforskningsfirma, som blev kontraheret af tredjepartsforskerne for at verificere deres resultater.

Mark Papermaster,
Senior Vice President og Chief Technology Officer

Dette efterfølges af en tabel, der beskriver problemstillingerne, idet det står at hvert problem kan løses ved hjælp af BIOS / firmware opdateringer i de kommende uger. AMD er også indstillet til at give yderligere opdateringer om analysen af ​​problemer og afbødning planer i løbet af den tid. AMD er også fremtrædende om kun at tage fat på sikkerhedsproblemerne, over alle andre, der måtte være blevet diskuteret.

kilde: AMD

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.