✔Компания AMD подтвердила подлинность уязвимостей в своих процессорах и готовит патчи - «Новости»

22 марта 2018 601 Новости 0

Изначально представители израильского стартапа CTS-Labs не опубликовали никаких технических деталей об этих багах, а компанию AMD уведомили об уязвимостях менее чем за сутки до обнародования информации. Из-за этого исследователи CTS-Labs подверглась жесткой критике со стороны ИБ-сообщества, а некоторые эксперты сначала и вовсе отказались верить данным исследователей. Позже информацию об уязвимостях подтвердили признанные ИБ-специалисты, а руководитель CTS-Labs, Илья Лук-Зильберман (Ilia Luk-Zilberman), опубликовал открытое письмо, в котором пояснил позицию своей компании и рассказал, почему считает неверным разглашение подробностей о таких проблемах и, тем более, публикацию эксплоитов.

Теперь, спустя неделю после публикации данных о RyzenFall, MasterKey, Fallout и Chimera, подлинность багов также подтвердили специалисты компаний Trail of Bits и Check Point, а вслед за ними и представители AMD сообщили, что завершили расследование и вынесли окончательный вердикт.

CTO компании AMD, Марк Пейпермастер (Mark Papermaster), пишет, что в целом инженеры AMD согласны с мнением коллег, которым так же довелось изучить эксплоиты CTS-Labs и ознакомиться с техническими деталями уязвимостей. Проблемы RyzenFall, MasterKey, Fallout и Chimera вряд ли можно поставить на одну ступень с уязвимостями Meltdown и Spectre, найденными в январе 2018 года в процессорах Intel. Дело в том, что для эксплуатации багов в процессорах AMD атакующий должен предварительно скомпрометировать систему и получить права администратора. В сущности, найденные специалистами CTS-Labs проблемы действительно опасны, но они могут использоваться для расширения и ухудшения атаки, но не в качестве вектора для изначальной компрометации системы.

Пейпермастер обещает, что патчи для всех найденных уязвимостей (в формате обновления для BIOS) выйдут в ближайшее время, однако пока компания не называет конкретных сроков. Подробности приведены в таблице ниже.

Источник новости - google.com

На прошлой неделе внимание ИБ-специалистов и прессы привлекла публикация информации о 13 критических уязвимостях, обнаруженных в процессорах AMD. Проблемы были поделены на четыре класса: RyzenFall, MasterKey, Fallout и Chimera. Изначально представители израильского стартапа CTS-Labs не опубликовали никаких технических деталей об этих багах, а компанию AMD уведомили об уязвимостях менее чем за сутки до обнародования информации. Из-за этого исследователи CTS-Labs подверглась жесткой критике со стороны ИБ-сообщества, а некоторые эксперты сначала и вовсе отказались верить данным исследователей. Позже информацию об уязвимостях подтвердили признанные ИБ-специалисты, а руководитель CTS-Labs, Илья Лук-Зильберман (Ilia Luk-Zilberman), опубликовал открытое письмо, в котором пояснил позицию своей компании и рассказал, почему считает неверным разглашение подробностей о таких проблемах и, тем более, публикацию эксплоитов. Теперь, спустя неделю после публикации данных о RyzenFall, MasterKey, Fallout и Chimera, подлинность багов также подтвердили специалисты компаний Trail of Bits и Check Point, а вслед за ними и представители AMD сообщили, что завершили расследование и вынесли окончательный вердикт. CTO компании AMD, Марк Пейпермастер (Mark Papermaster), пишет, что в целом инженеры AMD согласны с мнением коллег, которым так же довелось изучить эксплоиты CTS-Labs и ознакомиться с техническими деталями уязвимостей. Проблемы RyzenFall, MasterKey, Fallout и Chimera вряд ли можно поставить на одну ступень с уязвимостями Meltdown и Spectre, найденными в январе 2018 года в процессорах Intel. Дело в том, что для эксплуатации багов в процессорах AMD атакующий должен предварительно скомпрометировать систему и получить права администратора. В сущности, найденные специалистами CTS-Labs проблемы действительно опасны, но они могут использоваться для расширения и ухудшения атаки, но не в качестве вектора для изначальной компрометации системы. Пейпермастер обещает, что патчи для всех найденных уязвимостей (в формате обновления для BIOS) выйдут в ближайшее время, однако пока компания не называет конкретных сроков. Подробности приведены в таблице ниже. Источник новости - google.com