本帖最后由 橙黄鼠标 于 2018-3-21 14:40 编辑
最近CTS-Lab公布的12个AMD漏洞闹得沸沸扬扬,首先是CTS-Lab没有按照常规的公布流程去做,仅给了AMD 24小时去处理,便对媒体和大众公布了此次漏洞的细节,其次这12个漏洞均需要管理员权限执行才可生效,被列为次级漏洞,最后就是CTS-Lab是一家资历很浅的安全公司,从2016年成立至今还是第一次对外公布安全事件,不禁让人怀疑是否是别有用心才这么做。AMD对此虽对CTS-Lab的处理方式感到不满,但还是表示会积极调查,给大家一个交代。
昨天,在AMD的官网上,AMD发了一篇文公布了对此次时间的调研结果,大意就是这次CTS-Lab发现的安全问题和“Zen”架构无关,这些安全问题存在于嵌入式芯片和芯片组中,并且所有漏洞均需要管理员权限才能执行。同时,AMD还吐槽获得管理员权限的攻击者有大量的方式攻击使用者,这超出了一般安全研究既定的范围,现代操作系统也有大量防范措施防止非法获取管理员权限,比如Windows中的Microsoft Windows Credential Guard等。
针对MasterKey、PSP Privilege Escalation、Chimera、 RyzenFall、Fallout四个类型的漏洞,AMD均表示可以通过BIOS升级来进行修复,并且没有性能上的影响,升级BIOS也将会在未来数周内发布。
底下用户的评论还说出了一个阴谋论,CTS-Lab为什么仅给24小时便急于公布呢?因为比较容易修复.........常规的90天的通知期过去,可能已经修复完了。。。
|