AMD 芯片被曝大量安全漏洞,Linux 之父怒评!

沸沸扬扬的英特尔漏洞事件后,近来,计算机芯片制造商 AMD 又被曝存在 13 大安全漏洞,危及 AMD Ryzen 桌面处理器、Ryzen Pro 企业处理器、Ryzen 移动处理器以及 EPYC 数据中心处理器。

3 月 14 日凌晨消息,本周二,以色列安全公司 CTS 在其发布的一份白皮书中指出,AMD 在售的芯片存在 13 个安全漏洞。

当事人之一 CTS 成立于2017年,据该公司的博客显示,该公司至少有两名高管曾在以色列情报机构工作过。考虑到该公司缺少技术专门性,CTS 表示此次公布的白皮书只是提供了发现的漏洞的概述,故意没有提供对于漏洞的完全描述,以防恶意人员“专门去找到此漏洞并尝试通过此漏洞来攻击受影响芯片用户”。

据 CTS 称,该发现的漏洞将允许恶意代码在 AMD 安全处理器上运行,这将使攻击者能偷取机密证书,还可能使得该恶意软件通过由 Windows 机器组成的网络进行传播。另一个将影响 EPYC 服务器的漏洞允许攻击者对受保护的内存区域进行读取和写入操作,这将可能被用来偷取由 Windows Credential Guard 保护机制保护的证书。同时,CTS 还发现了一个针对 AMD Ryzen 处理器的漏洞,该漏洞利用企业软件和硬件的后门使得攻击者能注入恶意代码到处理器中。

AMD 第一时间对此发表了一份官方声明:

“我们刚刚收到一家名为 CTS-Labs 公司的报告,声称我们的特定处理器产品可能存在安全漏洞。目前我们正在积极进行调查和分析。这家公司 AMD 从未听闻,而且不同寻常的是,这家安全机构直接将自己的发现公布给了媒体,却没有给 AMD 合理的时间调查和解决问题。安全是 AMD 的首要职责,我们持续努力确保我们客户的安全,应对新的安全威胁。如有后续进展我们会第一时间公告。”

虽然这些漏洞本身确实带有一定的危险性,但整个事件却在安全界引起了轩然大波。可以看出,由于事发突然,特别是这些漏洞发现并没有按照行业惯例提前通知并给予 90 天的静默期,AMD 被打了个措手不及,加上它没有披露与漏洞有关的某些关键技术细节,安全界的专家们也表示非常不满。

此外,外媒 AnandTech 也对此次事件提出了一系列的质疑:

CTS-Labs 只给了 AMD 24 小时的时间知晓问题所在,而行业标准都是在漏洞发现后,提前联系涉事公司,并且要等 90 天才会对外公开,以便修复解决,而且初期不会披露漏洞技术细节;

在告知 AMD 和公开之前,CTS-Labs 首先联系了一些媒体,向他们通报了情况;

CTS-Labs 2017 年才刚刚成立,资质尚浅,这只是他们的第一份公开安全报告,也未公开自己的任何客户;

CTS-Labs 并没有自己的官方网站,公布此次漏洞却专门建立了一个名为 AMDFlaws.com 的网站,还是 2 月 22 日刚刚注册的;

从网站布局看,很像是已经提前准备了很久,并未考虑 AMD 的回应;

另外,CTS-Labs 还雇佣了一个公关公司来回应业界和媒体联系,这并非正常安全公司的风格。

但是 AnandTech 表示,对于这些疑问,目前它们还未收到 CTS-Labs 的任何消息回应。

一向快人快语的 Linux 之父 Linus Torvalds,对于这种反常做法也公开表达了自己的态度

“看起来,IT 安全行业被刷新了底线。如果你在安全领域工作,自认为还有道德,我觉得你应该在名片上增加一行:‘不,真的,我不是XX。我保证。’”

“我之前觉得整个(安全)行业已经够堕落的了,但没想到还能如此无耻。什么时候安全工作者也像个XX一样要吸引眼球了?”

这一年来,AMD 处理器不断在各个领域取得突飞猛进,得到了行业和用户的普遍认可。眼下第二代 Ryzen CPU 也即将发布,却突然出现这么一件很诡异的漏洞事件,背后的原因确实耐人寻味。

而且报道也指出,攻击者如果要利用这些漏洞,都必须提前获取管理员权限,然后才能通过网络安装恶意软件,危害程度属于二等漏洞。虽然 CTS 声称“所有可能被用于复制漏洞的技术细节都已从白皮书中删除了”,但即使 CTS 将更多细节公布出来,攻击也是很难实现的。所以总的来说,此次漏洞并不需要过份担心,尤其是现在 AMD 正在开发相应补丁的情况下。

原文地址:https://www.cnblogs.com/20560838q/p/12356094.html

时间: 2024-10-14 07:35:48

AMD 芯片被曝大量安全漏洞,Linux 之父怒评!的相关文章

开源软件Xen曝出安全漏洞,这是linux作死的节奏?

先是ssh心跳漏洞,再来bash漏洞,现在再来xen漏洞,linux日子不好过了.下一次又是什么漏洞?云服务器看来悬了. 其实windows本身就是漏洞百出,海康威视摄像头不是都被黑客控制了吗?但是大家还是用得好好的,损失就损失吧,总比没有操作系统用更好. 开源软件Xen曝出安全漏洞:多家云计算服务暂停 2015年03月11日18:38 新浪科技 新浪科技讯 3月11日晚间消息,由于开源软件Xen进行更新以修补发现的安全漏洞,最近多家云计算服务面临短暂停机. 近日,开源软件Xen发出高危漏洞警告

OpenSSL再曝CCS注入漏洞-心伤未愈又成筛子

太戏剧了,昨晚看了佳片有约,还不错,2012版的<完美回忆>,像我这种人依然选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程中,总是能突然有很多的想法,这是用电脑或者手机看电影所体会不到的.看完以后已经12点半了,突然想再看一遍<黑客帝国>,这下不用电脑不行了,因为电视上没得播...结果正在缓冲的时候,突然看到了旁边的小公告:"OpenSSL再爆严重安全漏洞--CCS注入",完了,电影看不成了,不是说不想看了,突然感觉自己比神还无耻,怎么人家

开源软件Xen曝出安全漏洞:多家云计算服务暂停

开源软件Xen曝出安全漏洞:多家云计算服务暂停 新浪网 新浪科技讯3月11日晚间消息,由于开源软件Xen进行更新以修补发现的安全漏洞,最近多家云计算服务面临短暂停机. 近日,开源软件Xen发出高危漏洞 ... IT时代周刊 苹果推出开源医学研究框架ResearchKit InfoQ: 时刻关注企业软件开发领域的变化与创新 苹果推出用于医学和健康研究的开源框架ResearchKit,帮助医生和科学家更经常地从使用iPhone App的参与者那里收集到更准确的数据. 医学研究人员 ... FreeP

[055] SSL 3.0曝出Poodle漏洞的解决方案

SSL 3.0曝出高危漏洞 2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,该漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号.邮箱账号.个人隐私等等.SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说“服务器不支持更安全的安全传输层(TLS)协议”,然后强制其转向使用SSL 3.0,在强制浏览器采用SSL 3.0与服务器进行通讯之后,黑客就可以利用中间人攻击来解密HTTPs的cookies,Google将其称之为POODLE

[055] SSL 3.0曝出Poodle漏洞的解决方案-----开发者篇

SSL 3.0曝出高危漏洞 2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,该漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号.邮箱账号.个人隐私等等.SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说"服务器不支持更安全的安全传输层(TLS)协议",然后强制其转向使用SSL 3.0,在强制浏览器采用SSL 3.0与服务器进行通讯之后,黑客就可以利用中间人攻击来解密HTTPs的cookies,Google将其称之为P

SSL 3.0曝出Poodle漏洞的解决方案-----开发者篇(转自:http://blog.csdn.net/lyq8479/article/details/40709175)

SSL 3.0曝出高危漏洞 2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,该漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号.邮箱账号.个人隐私等等.SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说“服务器不支持更安全的安全传输层(TLS)协议”,然后强制其转向使用SSL 3.0,在强制浏览器采用SSL 3.0与服务器进行通讯之后,黑客就可以利用中间人攻击来解密HTTPs的cookies,Google将其称之为POODLE

[055] SSL 3.0曝出Poodle漏洞的解决方式-----开发人员篇

SSL 3.0曝出高危漏洞 2014年10月15日,Google研究人员发布SSL 3.0协议存在一个非常严重的漏洞,该漏洞可被黑客用于截取浏览器与server之间进行传输的加密数据,如网银账号.邮箱账号.个人隐私等等.SSL 3.0的漏洞同意攻击者发起降级攻击,即欺骗浏览器说"server不支持更安全的安全传输层(TLS)协议",然后强制其转向使用SSL 3.0,在强制浏览器採用SSL 3.0与server进行通讯之后,黑客就能够利用中间人攻击来解密HTTPs的cookies,Goo

Linux之父访谈录:设计内核只为了好玩

2010-09-20 10:36 “有 些人生来就具有统率百万人的领袖风范;另一些人则是为写出颠覆世界的软件而生.唯一一个能同时做到这两 者的人,就是Linus Torvalds.”这是美国<时代>周刊对Linux之父Linus的评价.Linus除了是一位IT奇才外,还是一个乐观幽默的学者.IT168记者 带你走进Linux之父的专访现场. 图:从左往右依次为:Linus Trovalds.Andrew Morton.Jim Zemlin Linus Trovalds很少在会议上露面,站在拥挤

Linux之父Linus Torvalds:讨厌C++

"Linux内核的创始人Linus Torvalds最近在一封邮件中说明了内核开发需要使用C语言而非C++的理由.在庞大的项目中,人们对不是自己开发的模块并不了解,能快速理解其他模块中函数的 确切含义才能提高开发效率,而C++引入的各种抽象则使代码变得晦涩难读. 另外Linus还认为C++的内存管理方式很弱智(that idiotic "new" keyword in C++).邮件最后的总结是:很显然C并不适合所有项目,不过C++?还是算了吧.垃圾回收和并发等等,这些才是真