AMD indagare chip falle di sicurezza dopo meno di 24 ore di preavviso

0
40

Zero

(Immagine: file di foto)

AMD sta studiando un rapporto che sostiene diversi della società processori sono vulnerabili a più di una dozzina di falle di sicurezza.

Il chipmaker ha detto in una dichiarazione martedì che è “attivamente studiando e analizzando” i risultati da CTS Labs, una gran parte sconosciuto Tel Aviv-base di sicurezza informatica startup fondata lo scorso anno.

Ore prima, l’avvio pubblicato un sito web, un documento di ricerca, e un video che descrive 13 vulnerabilità, che aveva bollato Ryzenfall, Chiave Master, Fallout, e Chimera, che si sosteneva in grado di consentire agli aggressori di ottenere dati sensibili da AMD Ryzen e EPYC processori, utilizzato su milioni di dispositivi.

Specifiche di vulnerabilità non sono stati specificati in dettaglio nel documento, che porta molti ad avvicinarsi con cautela e scetticismo.

Ciò che è noto è che i difetti non sono facilmente sfruttato, un utente malintenzionato deve acquisire i privilegi di amministrazione il primo, che può essere ottenuto tramite malware per inoltrare la segnalazione di un utente connesso privilegi. Che il livello di accesso che significa che una macchina è già compromessa.

Suor sito CNET ha la carrellata completa di tutte le serie di vulnerabilità.

Ma la scoperta e la pubblicazione di questi difetti è stata accolta con ire da molti nomi di alto profilo nella comunità di sicurezza per quanto i ricercatori hanno scoperto e divulgato i difetti.

I ricercatori hanno dato AMD meno di 24 ore per verificare la vulnerabilità e rispondere prima di pubblicare il loro rapporto. In quasi tutti i responsabili di divulgazione delle vulnerabilità, le aziende hanno almeno 90 giorni di tempo per correggere un difetto-che può essere esteso, se concordato con lo scopritore, se vengono soddisfatte determinate condizioni.

In caso di Fusione e di Spectre, l’altro più recente tornata di chip di vulnerabilità che hanno avuto un impatto Intel, ARM e alcuni chip AMD, i ricercatori hanno dato i produttori più di sei mesi per rilasciare fix e le patch.

AMD ha gettato ombra in azienda, dicendo che “è insolito per una società di sicurezza a pubblicare la sua ricerca per la stampa senza fornire un ragionevole lasso di tempo per l’azienda per analizzare e risolvere i suoi risultati.”

Ore dopo che la ricerca è stata pubblicata la prima volta, il ricercatore di sicurezza Dan Guido confermato che il bug fosse reale, dopo che il team di ricerca ha contattato lui per analizzare il loro lavoro

“Nonostante l’hype intorno al rilascio, i bug non sono reali, accuratamente descritto nella relazione tecnica (che non è pubblico, per quanto ne so), e il loro codice di exploit funziona”, ha detto in un tweet.

Ha detto a ZDNet, che crede che lui è “l’unico che ha visto” specifiche vulnerabilità.

Fino a poco prima di questo articolo è stato pubblicato, non era chiaro se le vulnerabilità sono state anche reale.

I risultati dei ricercatori di sicurezza a bordo per tutto il giorno. Un professionista della sicurezza mi ha detto che il modo in cui questo rapporto è stato rilasciato ha fatto solo ricercatori sospetti della società, i risultati, ma anche i ricercatori motivazioni.

Reddit è andato in piena “cospirazione uomo” modalità, chiamata la legittimità dell’azienda in questione.

Guido osservazioni dare credito per la validità della ricerca, ma come l’Israeliano ricerca si è avvicinata la divulgazione sarà ricordato come una lezione in modo di non pubblicare ricerca in materia di sicurezza.

In contatto con me in modo sicuro

Zack Whittaker può essere raggiunto in modo sicuro sul Segnale e WhatsApp al 646-755-8849, e la sua PGP impronte digitali per l’e-mail è: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

Leggi Di Più

ZDNET INDAGINI

Cause minacciare infosec di ricerca — solo quando ne abbiamo più bisogno

NSA Ragtime programma obiettivi Americani, trapelata mostra file

Trapelate TSA documenti rivelano aeroporto di New York ondata di falle di sicurezza

Governo USA ha spinto le ditte di tecnologia a portata di mano il codice sorgente

Milioni di cliente di Verizon record esposti nell’intervallo di sicurezza

Soddisfare le oscure tech broker che forniscono i dati alla NSA

All’interno del terrore globale incagli che segretamente ombre milioni

FCC presidente votato per vendere la vostra cronologia di navigazione — così abbiamo chiesto di vedere la sua

198 milioni di Americani colpiti da ‘più grande mai’ elettore record di perdita di

La gran bretagna ha superato le più estreme di sorveglianza legge mai passato in una democrazia’

Microsoft dice ‘non sono noti ransomware’ gira su Windows 10 S — in questo modo abbiamo cercato per elaborarlo

Trapelato un documento rivela regno UNITO piani per una più ampia sorveglianza

Argomenti Correlati:

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

0