AMD芯片曝光13个安全漏洞

$AMD(AMD)$ 新浪数码讯 3月14日消息,以色列安全公司CTS-Labs研究发现,AMD Zen CPU架构存在多达13个高位安全漏洞,危害程度丝毫不亚于此前曝光的熔断和幽灵漏洞。

周二的公告没有透露任何技术细节,但描述了在AMD芯片中存在的13个“高危”安全漏洞。显然,该公司提前一天就通知了AMD公司。

报告描述了四个类别的漏洞,每个漏洞都有几个不同之处。并且此次报告的漏洞都需要获得管理员权限才能被发现,这些漏洞涉及AMD Ryzen桌面处理器、Ryzen Pro企业处理器、Ryzen移动处理器、EPYC数据中心处理器,不同漏洞对应的平台不同,其中21种环境下已经被成功利用,还有11个存在被利用的可能。而且CTS-Labs声称没有任何缓解措施。

这四个漏洞分别是:

Fallout

攻击对象是服务器级的EPYC,攻击者可以读取和写入受保护的内存区域,可以打通主机和虚拟机。

 Ryzenfall

将影响EPYC服务器的漏洞允许攻击者对受保护的内存区域进行读取和写入操作,这将可能被用来偷取由Windows Credential Guard保护机制保护的证书。

MASTERKEY

允许在安全处理器内安装持久的恶意软件,在内核模式下运行管理权限。它要求能够用恶意软件更新来重新启动主板BIOS。这通常需要对一个框进行管理员级别或物理访问,但是CTS-Labs认为这可以通过命令行实用程序进行远程操作,并具有适当的权限。

 Chimera

针对的不是处理器,而是配套的300系列芯片组。研究者发现,可以通过网络向芯片组植入按键记录器(Keylogger),进而直通主板BIOS,因为它就保存在与芯片组相连的一个8针串行ROM中。

AMD发言人回应说:“我们正在积极调查和分析白皮书中指出的芯片漏洞问题,由于这家安全公司过去并没有与AMD的合作经历,我们认为它们处理这件事情的方式不合适,即没有给AMD合理的时间去调查研究它们的发现之前就向媒体公布了它们发现的漏洞。”(于泽)

免责声明:上述内容仅代表发帖人个人观点,不构成本平台的任何投资建议。

举报

评论15

  • 推荐
  • 最新
  • 郑富富
    ·2018-03-16
    这家公司的网站第一天上线就发布这个新闻 而且视频还是合成的 所有的漏洞都要在获取管理员权限才可能实现 然后这家公司注册在以色列 最后以色列是英特尔的后花园
    回复
    举报
    收起
    • Lon
      反正我没买,正好看到...
      2018-03-16
      回复
      举报
  • Danazy
    ·2018-03-16
    1.这家公司成立于2017年。
    2.通常披露漏洞之前需要给厂商180天的时间,而这家厂商是直接披露,这家安全厂商还因此遭到Linux之父狂喷。
    3.漏洞没有公布细节,目前每人知道漏洞到底怎么回事。
    回复
    举报
  • 所有的攻击手段的前提是要获得root权限,并且刷入特制的BIOS,只要有以上一点,弱智都能轻松掌控你的电脑,谁家的CPU在这种情况下都一样
    回复
    举报
  • JamesClay
    ·2018-03-19
    科再奇的恶性竞争理论开始显现,真是一个废物
    回复
    举报
  • DreamX
    ·2018-03-16
    感觉牙膏厂想把按摩店的ryzen废了,然后继续保持一家独大的节奏😱
    回复
    举报
  • hypnus
    ·2018-03-16
    比起这个类似公关搞出来的漏洞,还是nvda的gpp排他计划对amd影响更大吧
    回复
    举报
  • dimsum
    ·2018-03-16
    允许在安全处理器内安装持久的恶意软件,在内核模式下运行管理权限
    回复
    举报
  • 和而不同
    ·2018-03-19
    恶意搞AMD的。
    回复
    举报
  • 很溜
    ·2018-03-17
    这你也行,那你就是韭菜
    回复
    举报
  • player
    ·2018-03-16
    先看看漏洞名,再来发话吧
    回复
    举报
  • player
    ·2018-03-16
    兄弟,你太天真了
    回复
    举报
  • meigu333
    ·2018-03-16
    漏洞百出啊
    回复
    举报
  • historyiong
    ·2018-03-16
    看不懂这个
    回复
    举报
  • maroketo
    ·2018-03-16
    呵呵
    回复
    举报