AMD 已经正式确认 3 月 12 日发布的 RyzenFall,MasterKey,Fallout 和 Chimera 漏洞的有效性, 并表示将在未来几周内发布补丁
该公司对这四个漏洞的评估与以色列安全公司 CTS Labs 发布的原始白皮书以及 Bit Trail of Bit,Check Point 和 Crowdstrike 的 Alex Ionescu 的第三方审计一致
由于漏洞披露流程并不标准, 许多安全专家曾认为 CTS 实验室的报告是为了操纵 AMD 股票, 因此包含虚假或误导性的漏洞
AMD 正式确认产品受到影响
AMD 首席技术官 Mark Papermaster 今天证实, 这些漏洞确实存在, 并且影响了 AMD Ryzen 和 EPYC 系列处理器
三个漏洞 MasterKey,Fallout 和 RyzenFall 影响 AMD 平台安全处理器 (PSP) 这是一个类似于英特尔管理引擎 (ME) 的安全芯片处理器, 与其他 AMD 产品在硬件层面上就有所不同, 通常它会处理安全数据, 如密码, 加密密钥等
最后一个 Chimera 漏洞会影响管理处理器, 内存和外设之间通信的 AMD 芯片组(主板组件), 攻击者可以执行代码并将虚假信息传递给其他组件
AMD 表示它只有一天的时间查看原始报告
AMD 花了整整一周时间来评估这些漏洞的原因是因为 CTS 实验室在公布调查结果之前只给了 AMD 一天时间阅读其报告
AMD 也同时忽视了这些漏洞的严重性, 因为它认为, 漏洞的利用需要管理权限之前的 Meltdown 和 Spectre 漏洞则不需要管理员权限即可利用
AMD 对 MasterKey,Fallout,RyzenFall 和 Chimera 漏洞的评估如下, AMD 表示将在未来几周内发布补丁
本文转载自 Freebuf.COM
阿里聚安全
阿里聚安全 (http://jaq.alibaba.com) 由阿里巴巴安全部出品, 面向企业和开发者提供互联网业务安全解决方案, 全面覆盖移动安全数据风控内容安全实人认证等维度, 并在业界率先提出以业务为中心的安全, 赋能生态, 与行业共享阿里巴巴集团多年沉淀的专业安全能力
来源: http://jaq.alibaba.com/community/art/show?articleid=1571