AMD undersøge chip sikkerhedshuller efter mindre end 24 timers varsel

0
41

Nul

(Billede: file foto)

AMD er ved at undersøge en rapport, der hævder flere af selskabets processorer, der er sårbare over for mere end et dusin sikkerhedshuller.

Den chipmaker sagde i en erklæring tirsdag, at det er “aktivt at undersøge og analysere” resultaterne af CTS Labs, en stort set ukendt Tel Aviv-baserede cybersecurity start grundlagt sidste år.

Timer tidligere, start lagt en hjemmeside, et forsknings-papir, og en video der beskriver 13 sårbarheder, som det havde mærkevarer Ryzenfall, Master-Nøgle, Fallout, og Chimera, som det er hævdet, kunne gøre det muligt for angribere at få adgang til følsomme data fra AMD ‘ s Ryzen og EPYC processorer, der bruges på millioner af enheder.

Detaljerne i de sårbarheder, der ikke er specificeret i detaljer i whitepaper, der fører mange til at nærme sig med forsigtighed og skepsis.

Hvad er kendt er, at den fejl er ikke nemt udnyttes — en hacker skal få administrative rettigheder første, som kan opnås ved brug af malware til at eskalere en aktuelle brugers privilegier. Dette niveau af adgang betyder, at en maskine er allerede kompromitteret.

Søster-site CNET har fuld gennemgang af hvert sæt af sårbarheder.

Men opdagelsen af, og offentliggørelsen af disse fejl er blevet mødt med vrede fra mange højt profilerede navne i sikkerhedsbranchen for, hvordan forskere opdaget og afsløret fejl.

Forskerne gav AMD mindre end 24 timer til at undersøge på de svagheder og reagere, før de offentliggør deres rapport. I næsten enhver ansvarlig offentliggørelse af sårbarheder virksomheder får mindst 90 dage at lave en fejl-som kan udvides, hvis det er aftalt, at ved de opdager, hvis visse betingelser er opfyldt.

I tilfælde af Sammenbrud og Spectre, og andre seneste runde af chip sårbarheder, der påvirkede Intel, ARM og nogle AMD-chips, forskere gav producenterne mere end seks måneder til at udstede og patches.

AMD kastede skygge på virksomheden, siger, at det var “usædvanligt for et vagtselskab til at publicere sin forskning til pressen uden at give en rimelig frist til selskabet til at undersøge og løse sine resultater.”

Timer efter, at den forskning, der først blev offentliggjort, sikkerhedsekspert Dan Guido bekræftet, at de fejl var virkelige, efter forskerholdet havde kontaktet ham til at revidere deres arbejde

“Uanset den hype omkring udgivelsen, fejl er rigtige, præcist beskrevet i deres tekniske rapport (som ikke er forbudt afaik), og deres exploit kode virker,” sagde han i en tweet.

Han fortalte ZDNet, at han mener, at han er så langt “den eneste, der har set” detaljerne af sårbarheder.

Indtil kort før denne artikel blev udgivet, det var ikke klart, om de sårbarheder selv fast.

Resultaterne havde sikkerhed forskere på kant hele dagen. En security professional fortalte mig, at den måde, som denne rapport blev frigivet, har kun gjort forskerne mistænksom over for den virksomhed, resultater, men også forskernes motiver.

Reddit gik i fuld “sammensværgelse mand” tilstand, hvori legitimiteten af virksomheden i tvivl.

Guido ‘ s bemærkninger giver tro på gyldigheden af forskning, men hvordan den Israelske analysefirmaet nærmede sig videregivelse vil blive husket som en lektion i hvordan man ikke at offentliggøre forskning i sikkerhed.

Kontakt mig sikkert

Zack Whittaker kan nås sikkert på Signal og WhatsApp på 646-755-8849, og hans PGP fingeraftryk til e-mail er: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

Læs Mere

ZDNET UNDERSØGELSER

Retssager truer infosec forskning — lige når vi har mest brug for det

NSA ‘ s Ragtime program mål Amerikanere, lækkede filer vis

Lækket TSA dokumenter afslører New York airport ‘ s bølge af sikkerhed bortfalder

Den AMERIKANSKE regering skubbet tech firmaer, til at udlevere kildekoden

Millioner af Verizon kunde registreringer, der vises i sikkerhed bortfalder

Mød den dunkle tech mæglere at levere dine data til NSA

Inde i den globale terror-overvågningsliste, der hemmeligt skygger millioner

FCC-formand stemte for at sælge dine browserdata — så vi bad om at se hans

198 millioner Amerikanere er ramt af ” største nogensinde fra vælgerne, registreringer lækage

Storbritannien har bestået den “mest ekstreme overvågning lov, der nogensinde er gået i et demokrati”

Microsoft siger, at “ingen kendte ransomware’ kører på Windows-10 S — så vi har forsøgt at hacke det

Lækket dokument, der afslører BRITISKE planer for større internet-overvågning

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre

0