转自腾讯快报PCEVA:http://kuaibao.qq.com/s/20180314A1ENU500
英特尔Meltdown漏洞尚未尘埃落定,这边AMD也无法淡定了,因为刚刚有来自以色列的安全公司CTS-Labs一次性曝光了13个安全漏洞,全部与锐龙处理器及芯片组相关。
13个漏洞被分为4类,分别冠以RyzenFall锐龙坠落、MasterKey万能钥匙、Fallout辐射和Chimera幻觉的代号,涉及从EPYC服务器平台到桌面、移动处理器以及相关主板芯片组,几乎是一锅端。
影响所有AMD平台的MasterKey万能钥匙漏洞涉及安全引导功能。攻击者可利用它绕过各种杀毒软件的检测在芯片内部安装恶意软件,从而掌握对被攻击电脑的完全访问权限,包括内存、外设和硬盘当中的各种数据。
RyzenFall锐龙坠落漏洞允许恶意代码完全控制AMD安全处理器,可以和MasterKey万能钥匙漏洞共同使用,窃取网络证书实现在企业内网的传播。
Fallout辐射漏洞只影响EPYC服务器处理器,拥有类似锐龙坠落的攻击效果。而Chimera幻觉漏洞则影响桌面和移动版锐龙平台,主要是由台湾ASMedia提供的配套主板芯片组(包含USB/SATA/PCIE控制器)引发,其中既有固件级漏洞,也有硬件级漏洞。
CTS-Labs还批评说ASMedia产品的一些漏洞已经存在6年以上,始终未被重视。
与英特尔知晓Meltdown漏洞到漏洞被公开长达200天不同,AMD这次被CTS-Labs曝光的大量安全漏洞只留给AMD二十四小时应对时间就被公开。不过CTS-Labs并没有披露攻击的详细手段和代码,所以外界目前既不能验证这些漏洞的存在,也暂时不必担心因漏洞扩散造成的爆发影响。
有安全领域专家认为,AMD可能需要“数月”的时间才能完成对漏洞的修复,而其中有些漏洞是无法通过固件升级解决的,恐唯有硬件召回才能完成彻底修补。当然对于普通家庭用户来说,被针对性攻击以及数据泄漏的风险相对还是比较小的,只需观察修复补丁释出后对性能影响再做是否安装的决定。
|
收藏
转播