论文部分内容阅读
近日以色列安全公司CTS-Labs突然宣布:AMD Zen CPU架构存在多达12个高位安全漏洞,危害程度丝毫不亚于熔断、幽灵漏洞。而AMD官方则立即回应称目前还无法完全证实这些漏洞的真伪。这中间究竟出了什么事呢?
安全公司发现多处AMD CPU漏洞
近日以色列安全公司CTS-Labs称AMD Ryzen桌面处理器、Ryzen Pro企业处理器、Ryzen移动处理器、EPYC数据中心处理器等全系均存在漏洞,只是不同平台的漏洞不同,其中21种环境下已经被成功利用,还有11个存在被利用的可能。
利用这些漏洞可以给AMD Zen平台造成多种严重危害,包括:控制Ryzen/EPYC安全处理器、控制Ryzen主板、利用恶意软件感染AMD处理器、窃取企业网络敏感信息、绕开几乎所有终端安全软件、造成硬件物理损坏,可以说危害巨大。
AMD回应:未发现漏洞
针对CTS-Labs发布的研究结果,AMD官方很快就做出了回应:我们刚刚收到一家名为CTS-Labs的公司的报告,聲称我们的特定处理器产品可能存在安全漏洞。我们正在积极进行调查和分析。这家公司AMD从未听闻,而且不同寻常的是,这家安全机构直接将自己的发现公布给了媒体,却没有给AMD合理的时间调查和解决问题。安全是AMD的首要职责,我们持续努力确保我们客户的安全,应对新的安全威胁。如有后续进展我们会第一时间公告。
事件诡异,疑似恶意抹黑?
回顾整个事件,不难看出其中的诡异之处。CTS-Labs只给了AMD 24小时的时间知晓问题所在,而行业标准都是在漏洞发现后,提前联系涉事公司,并且要等90天才会对外公开,以便修复解决,而且初期不会披露漏洞技术细节。但在告知AMD和公开之前,CTS-Labs首先联系了一些媒体,向他们通报情况。
再者CTS-Labs 2017年才刚刚成立,资质尚浅,这只是他们的第一份公开安全报告,也未公开自己的任何客户。CTS-Labs并没有自己的官方网站,公布此次漏洞却专门建立了一个名为AMDFlaws.com的网站,还是2月22日刚刚注册的。从网站布局看,很像是已经提前准备了很久,并未考虑AMD的回应。CTS-Labs还雇用了一个公关公司来回应业界和媒体联系,这并非正常安全公司的风格。
而且这个时间点非常的敏感,因为第二代Ryzen CPU即将发布,这是不是恶意抹黑行为呢?
安全公司发现多处AMD CPU漏洞
近日以色列安全公司CTS-Labs称AMD Ryzen桌面处理器、Ryzen Pro企业处理器、Ryzen移动处理器、EPYC数据中心处理器等全系均存在漏洞,只是不同平台的漏洞不同,其中21种环境下已经被成功利用,还有11个存在被利用的可能。
利用这些漏洞可以给AMD Zen平台造成多种严重危害,包括:控制Ryzen/EPYC安全处理器、控制Ryzen主板、利用恶意软件感染AMD处理器、窃取企业网络敏感信息、绕开几乎所有终端安全软件、造成硬件物理损坏,可以说危害巨大。
AMD回应:未发现漏洞
针对CTS-Labs发布的研究结果,AMD官方很快就做出了回应:我们刚刚收到一家名为CTS-Labs的公司的报告,聲称我们的特定处理器产品可能存在安全漏洞。我们正在积极进行调查和分析。这家公司AMD从未听闻,而且不同寻常的是,这家安全机构直接将自己的发现公布给了媒体,却没有给AMD合理的时间调查和解决问题。安全是AMD的首要职责,我们持续努力确保我们客户的安全,应对新的安全威胁。如有后续进展我们会第一时间公告。
事件诡异,疑似恶意抹黑?
回顾整个事件,不难看出其中的诡异之处。CTS-Labs只给了AMD 24小时的时间知晓问题所在,而行业标准都是在漏洞发现后,提前联系涉事公司,并且要等90天才会对外公开,以便修复解决,而且初期不会披露漏洞技术细节。但在告知AMD和公开之前,CTS-Labs首先联系了一些媒体,向他们通报情况。
再者CTS-Labs 2017年才刚刚成立,资质尚浅,这只是他们的第一份公开安全报告,也未公开自己的任何客户。CTS-Labs并没有自己的官方网站,公布此次漏洞却专门建立了一个名为AMDFlaws.com的网站,还是2月22日刚刚注册的。从网站布局看,很像是已经提前准备了很久,并未考虑AMD的回应。CTS-Labs还雇用了一个公关公司来回应业界和媒体联系,这并非正常安全公司的风格。
而且这个时间点非常的敏感,因为第二代Ryzen CPU即将发布,这是不是恶意抹黑行为呢?