AMD svarer på sikkerhetspåstander fra CTS Labs, innkommende resolusjoner

AMD-HBM

I forrige uke publiserte et hittil ukjent sikkerhetsselskap, CTS Labs, beskyldninger om bombeskall om hva det erklærte var 13 kritiske sikkerhetsfeil som påvirket AMDs Ryzen-prosessorer og brikkesett. Det ble raskt klart at hele avsløringsprosessen var uvanlig, for å si det mildt, og det er god grunn til å tro at hele affære ble orkestrert av et firma som håper å tjene raskt penger og kortslutte AMD-aksjen. AMD har nå svart på CTS Labs 'første funn, sparker bena ut fra et av selskapets forsvar for sine egne handlinger i prosessen.

Alle 13 feilene identifisert av CTS Labs krever administrativ tilgang for å utnytte. Selv om dette faktum ikke unnskylder et gitt sikkerhetsproblem, setter det problemene i sammenheng - hvis du har administratortilgang til et system, faktisk kan kompromitter det med et hvilket som helst antall angrep. AMD bryter deretter sammen de tre største sårbarhetsfamiliene og gir en oppdatert tidslinje for når reparasjoner forventes i markedet.



AMD-Ryzen-feil



Av spesiell interesse er AMDs uttalelser om at løsninger for alle tre sett med sårbarheter forventes å komme i løpet av noen uker. Det er viktig, gitt CTS Labs 'uttalte begrunnelse for sin egen informasjonspraksis.HowLongBeforeFix

CTS Labs doblet ned på argumentasjonen for tidslinjen i en intervju med Anandtech, da økonomidirektøren, Yaron Luk-Zilberman, sa: “Jeg anslår at det vil ta mange mange måneder før AMD er i stand til å lappe disse tingene. Hvis vi hadde sagt til dem, la oss si: 'Dere har 30 dager / 90 dager på meg til å gjøre dette', jeg tror ikke det ville ha så stor betydning. '



CTS er, og var, helt feil på dette punktet. Rimelige mennesker kan være uenige om hvordan sikkerhetsopplysninger skal håndteres, eller hvor mye tid, hvis noen, skal gis til produsenten for å løse problemene. I dette tilfellet har imidlertid CTS Labs 'manglende evne til å diskutere sine egne funn med AMD underbukket sine egne uttalte grunner til måten og naturen på avsløringen på. Det vil ikke det tar mange måneder å løse disse problemene, og de setter ikke liv på spill - som var en av CTS Labs annen begrunnelser for hvorfor den brukte språket den gjorde i den første avsløringen:

AMD-Security-Lives

Ingen hensynsløs overdrivelse her.

TrailofBits, som utførte en tredjepartsanalyse og verifisering av feilene CTS lokaliserte, skriver:



Det er ingen umiddelbar risiko for utnyttelse av disse sårbarhetene for de fleste brukere. Selv om alle detaljene ble publisert i dag, ville angripere trenge å investere betydelig utviklingsarbeid for å bygge angrepsverktøy som bruker disse sårbarhetene. Dette innsatsnivået er utenfor rekkevidden for de fleste angripere ...

Denne typen sårbarheter bør ikke overraske sikkerhetsforskere; lignende feil er funnet i andre innebygde systemer som har forsøkt å implementere sikkerhetsfunksjoner. De er resultatet av enkle programmeringsfeil, uklare sikkerhetsgrenser og utilstrekkelig sikkerhetstesting.

Feilene er reelle, krever oppdateringer og må håndteres - men de representerer ikke en katastrofal sikkerhetssvikt. De representerer absolutt ikke selskapets sluttapokalypse som CTS Labs 'mistenkte partner i forbrytelse, Viceroy Research, sa at de gjorde. I mellomtiden er det ingen tegn til noen innsats fra CTS Labs for å løse bakdørene og kritiske sikkerhetsfeil som er bakt inn i titalls millioner av Intel hovedkort med tillatelse fra deres ombord Asmedia-kontrollere, selv om ASM1042 og ASM1142 har sendt på Intel-produkter de siste seks årene.

Dårlig tro unnskylder ikke dårlig sikkerhet

CTS Labs hele innsatsen, begynner å fullføre, ser ut til å ha vært et forsøk på å våpenlegge sikkerhetsopplysninger og skade et selskap i navnet til å tjene penger til useriøse investorer. Det er et lærebokeksempel på hvorfor sikkerhetsanalyse og avsløring må håndteres nøye. Men ingenting av dette endrer det faktum at disse sikkerhetsspørsmålene ikke burde ha eksistert i utgangspunktet.

Både AMD og Intel har bedt databrukere om å godta tilstedeværelsen av black box-sikkerhetsimplementeringer i navnet økt sikkerhet. Intel har sin Intel Management Engine, AMD har sin TrustZone-prosessor. AMD bruker en ARM-løsning med en Cortex-A5 integrert prosessor, Intel bruker sin egen Quark CPU. Begge selskapene har motstått samtaler om å gi dokumentasjon og / eller åpen kildekode for disse løsningene, og likevel er sikkerheten til begge gjentatte ganger funnet å være mangelfull. Etter hvert som enhetene blir tettere integrert og antallet komponenter og IP-blokker integrert i SoCs øker, blir det stadig viktigere at produsentene følger den beste sikkerhetspraksis fra start til slutt. Både Intel og AMD har mer arbeid å gjøre i denne forbindelse.

Copyright © Alle Rettigheter Reservert | 2007es.com