安全研究人员公布Ryzen漏洞，只提前24小时通知AMD

安全研究人员公布Ryzen漏洞，只提前24小时通知AMD

由于Meltdown和Spectre的出现，对于现代高性能处理器的潜在安全漏洞，特别是那些处理公司业务和国际基础架构的核心和关键组件的处理器，存在着一种紧张因素。 今天，位于以色列的一家安全公司CTS-Labs发布了一份白皮书，指出了Ryzen，EPYC，Ryzen Pro和Ryzen Mobile处理器四类产品线存在潜在漏洞。CTS-Labs 只提前 24 小时通知 AMD，而不是标准漏洞披露的典型90天。几乎没有给该公司任何时间澄清问题， 缩短的时间也没有正式的理由。

目前AMD尚未确认CTS-Labs白皮书中提出的任何问题，因此我们无法证实这些发现是否准确。我们已经注意到一些新闻媒体已经在这个问题上得到了预先通报，也许在AMD被通知之前，并且CTS实验室为这个问题设置的网站已于数周前的2月22日登记。鉴于该网站的图形水平，它看起来像是一个有计划的'宣布'已经在工作了一段时间，似乎很少考虑AMD在这个问题上的回应。这与Meltdown和Spectre进行了比较，Meltdown和Spectre在计划公开披露前几个月在受影响的公司中分享。 CTS-Labs还聘请了一家公关公司处理传入的信息请求，这也是一个有趣的途径，因为这通常不是这些安全公司采用的路线。 CTS-Labs是一家以安全为重点的研究公司，但未透露其客户或研究导致此披露。 CTS-Labs于2017年启动，这是他们的第一份公开报告。

CTS实验室的声明围绕着AMD的安全处理器和海岬芯片组，并归入四大类，CTS实验室已经命名为最大效果。每个类别都有其中的子部分。

所有这些漏洞都需要提升管理员访问权限，MasterKey最多只能在BIOS刷新之前进行刷新。 然而，CTS实验室发动攻势，指出它提出了有关AMD的安全实践，审计和质量控制的问题，并称“这些漏洞完全无视基本安全原则”。 这确实是非常强烈的措辞，有人可能预料到他们可能会等待官方的回应。 另一个角度是给予幽灵/熔毁，“1天”披露是为了最大的影响而设计的。 无论如何，只需足够的时间开发一个网站。

AMD 已发表声明表示正对此展开调查。

本文永久更新链接地址：https://www.bkjia.com/Linux/2018-03/151375.htm