绝对有料 发表于 2018-3-14 19:11

锐龙处理器及芯片组被曝光存在漏洞

转自腾讯快报PCEVA:http://kuaibao.qq.com/s/20180314A1ENU500

英特尔Meltdown漏洞尚未尘埃落定,这边AMD也无法淡定了,因为刚刚有来自以色列的安全公司CTS-Labs一次性曝光了13个安全漏洞,全部与锐龙处理器及芯片组相关。

13个漏洞被分为4类,分别冠以RyzenFall锐龙坠落、MasterKey万能钥匙、Fallout辐射和Chimera幻觉的代号,涉及从EPYC服务器平台到桌面、移动处理器以及相关主板芯片组,几乎是一锅端。

影响所有AMD平台的MasterKey万能钥匙漏洞涉及安全引导功能。攻击者可利用它绕过各种杀毒软件的检测在芯片内部安装恶意软件,从而掌握对被攻击电脑的完全访问权限,包括内存、外设和硬盘当中的各种数据。

RyzenFall锐龙坠落漏洞允许恶意代码完全控制AMD安全处理器,可以和MasterKey万能钥匙漏洞共同使用,窃取网络证书实现在企业内网的传播。

Fallout辐射漏洞只影响EPYC服务器处理器,拥有类似锐龙坠落的攻击效果。而Chimera幻觉漏洞则影响桌面和移动版锐龙平台,主要是由台湾ASMedia提供的配套主板芯片组(包含USB/SATA/PCIE控制器)引发,其中既有固件级漏洞,也有硬件级漏洞。

CTS-Labs还批评说ASMedia产品的一些漏洞已经存在6年以上,始终未被重视。

与英特尔知晓Meltdown漏洞到漏洞被公开长达200天不同,AMD这次被CTS-Labs曝光的大量安全漏洞只留给AMD二十四小时应对时间就被公开。不过CTS-Labs并没有披露攻击的详细手段和代码,所以外界目前既不能验证这些漏洞的存在,也暂时不必担心因漏洞扩散造成的爆发影响。

有安全领域专家认为,AMD可能需要“数月”的时间才能完成对漏洞的修复,而其中有些漏洞是无法通过固件升级解决的,恐唯有硬件召回才能完成彻底修补。当然对于普通家庭用户来说,被针对性攻击以及数据泄漏的风险相对还是比较小的,只需观察修复补丁释出后对性能影响再做是否安装的决定。


atmosphere 发表于 2018-3-14 20:29

Meltdown和Spectre补丁都没打的路过。。

Apache 发表于 2018-3-14 20:37

实际漏洞比公布的要多的多。

Cogae 发表于 2018-3-14 23:33

漏洞总是难免的,估计还有好多

oparyacs 发表于 2018-3-15 08:09

linux之父指出这个网站以及这个网站爆料的漏洞都是一场针对amd的劣质阴谋。是个无耻的安全流氓公司

oparyacs 发表于 2018-3-15 08:10

提醒大家,这可能是相关利益的炒作,真实度不高。http://www.moepc.net/?post=4553
Liunx之父直言bullshit 发布漏洞技术细节的网站在发布新闻一天前注册,之前是一个隐藏域名的货色,而且文章中多次提到AMD股票一文不值,很可能是做空以及某个友商双重利益,而且就在amd cpu上市前90天公布。最重要的,漏洞使用方法均需要管理员权限,甚至还要刷新的独创的bios才能实现,不禁让人怀疑其真实性,而intel的CPU漏洞在7代便已心知肚明,CEO很早大举抛售股票,曝光的媒体也是知名媒体,不存在amd恶意竞争的可能性,也没有曝光漏洞具体入侵细节给用户带来风险。

Darkteeth 发表于 2018-3-15 08:52

这个事情真是很有趣,或者说耐人寻味,为什么突然会有这样一个奇形怪状的公司,这样一堆奇葩的惊人大秘密呢
目前没有更多消息出来,静观其变吧,肯定一定有后续
{:7_357:}

武英仲 发表于 2018-3-15 09:07

不是说这破公司联合创始人还经验着一家对冲基金吗
就是冲着做空AMD股价来获利的吧

武英仲 发表于 2018-3-15 09:08

尼玛都能刷BIOS了,还有啥不能破解的
直接把AMD CPU拔了换一个定制的CPU,内置各种权限

dy4932 发表于 2018-3-15 13:47

确实,各种漏洞与一般使用者何干

红色国度 发表于 2018-3-15 16:25

oparyacs 发表于 2018-3-15 08:10
提醒大家,这可能是相关利益的炒作,真实度不高。http://www.moepc.net/?post=4553
Liunx之父直言bullshit ...

这个是INTEL炒的?

CatoHT 发表于 2018-3-15 17:42

红色国度 发表于 2018-3-15 16:25 static/image/common/back.gif
这个是INTEL炒的?

应该不会吧。牙膏厂虽然没节操,但应该有把AMD按在地上摩擦的技术实力,不至于这么没品才对。而且真的把AMD搞死搞残对Intel又没什么好处。

我比较相信“股票操纵论”

xudaiqing 发表于 2018-3-15 21:41

感觉是真的。
但是我认为具体操作肯定有问题,要么CTS-Labs要股票操控做空AMD,要么这东西太简单CTS-Labs要确保它自己成为发现者,而且CTS-Labs应该有意想把事情搞大。
这东西对普通用户能感受到的关系不大,主要适合做数据盗取软件,不适合做熊猫烧香这样的技术炫耀型病毒,也不适合WannaCry这样的抢劫软件。

rostest 发表于 2018-3-16 08:59

有代码的地方就会有漏洞,主要看发现漏洞后如何积极响应和应对。这是态度问题。
另外6楼说的也不对,那个漏洞不需要刷特定BIOS,是攻击可以感染BIOS层面,而不是需要用户自己去刷BIOS。

akingmax 发表于 2018-3-16 11:30

红色国度 发表于 2018-3-20 16:36

akingmax 发表于 2018-3-16 11:30
人心险恶,打算弄死AMD

AMD死不了,真要快死了,INTEL就给输血了。
页: [1]
查看完整版本: 锐龙处理器及芯片组被曝光存在漏洞