研究人员表示,他们发现AMD芯片存在严重的安全漏洞,可能使攻击者从数百万台设备中的高度保护处理器访问敏感数据。
特别令人担忧的是,所谓的漏洞在于设计为处理器安全部分的事实,通常是设备存储密码和加密密钥等敏感数据的地方。这也是您的处理器在启动计算机时确保没有任何恶意行为的地方。
大多数这些报告的漏洞需要管理员访问才能工作,这意味着攻击者首先需要通过某种类型的恶意软件控制您的计算机。但即使需要管理访问权限,将恶意软件放置在安全处理器上本身也会产生比普通攻击更高的潜在损害。
CTS-Labs是一家位于以色列的安全公司,它周二宣布其研究人员发现了13个严重的安全漏洞,攻击者可以访问存储在AMD Ryzen和EPYC处理器上的数据,并在其上安装恶意软件。Ryzen芯片为台式机和笔记本电脑提供电源,而EPYC处理器则在服务器中使用。
AMD发言人表示:在AMD,安全是首要任务,我们一直在努力确保用户的安全,因为出现新的风险。我们正在调查刚刚收到的这份报告,以了解研究结果的方法和优点。
研究人员在发布报告前不到24小时就查看了这些漏洞并做出了回应。标准漏洞披露要求至少提前90天通知,以便公司有时间妥善处理漏洞。如果没有先给公司足够的时间来修复漏洞,向公众披露漏洞可能是不负责任的,因为这会给攻击者带来机会。谷歌的研究人员给英特尔六个月的时间来解决有关的问题。
“尽管我们对分析有信念,并且认为它是客观和不偏不倚的,”
在回复关于免责声明的电子邮件时,CTS-Labs表示,它没有对英特尔或AMD中进行任何投资。
该漏洞报告出现在Meltdown和Spectre出现之后,英特尔和Arm芯片的安全缺陷影响了大量可追溯至二十年的PC。根据研究人员Statista,77%的计算机处理器来自英特尔,而AMD占22%。
AMD在一月份透露瑕疵时表示,由于设计上的差异,其芯片不受影响。
据CTS-Labs联合创始人兼首席财务官Yaron Luk-Zilberman称,这些新的安全漏洞分为四类。实质上,攻击者都可以锁定处理器的安全段,这对于保护设备上的敏感信息至关重要。
“当你坐在安全的处理器中时,你几乎察觉不到,”Luk-Zilberman谈到了这些缺陷。“攻击者可以在那里好几年而不被发现。”
安全研究人员还批评CTS实验室发布的白皮书缺少描述漏洞的任何技术细节。CTS-Labs表示,它已将技术报告发送给独立安全研究人员和位比特首席执行官Dan Guido。
Guido说,该公司上周向他发送了详细信息,并补充说这些威胁是合法的。
领取专属 10元无门槛券
私享最新 技术干货