【TechWeb报道】 3 月 14 日消息,据国外媒体报道,周二,色列安全公司CTS Labs发布了一份白皮书,它在白皮书中指出,计算机芯片制造商AMD在售的Ryzen/Zen芯片中存在 13 个安全漏洞。
这些漏洞可以让攻击者访问存储在AMD Ryzen和EPYC处理器上的数据,并在这些处理器上安装恶意软件。Ryzen芯片为台式机和笔记本电脑提供动力,而EPYC处理器则存在于服务器中。
CTS Labs详细列出了四个主要漏洞,分别是Ryzenfall、 Fallout、 Master key和Chimera。
不久前,英特尔处理器也被曝出存在Meltdown(熔毁)和Spectre(幽灵)两大安全漏洞,这两个漏洞允许黑客窃取计算机的全部内存内容,进而导致用户账户、密码、cookie及其它敏感信息泄露。英特尔正计划在今年晚些时候为新产品推出硬件补丁。
英特尔芯片漏洞影响了过去 20 年的大量个人电脑。市场调研公司Statista表示,77%的电脑处理器来自英特尔,而22%来自AMD。
今年 1 月,当“熔毁”和“幽灵”的缺陷暴露出来时,AMD表示,由于设计上的差异,其芯片没有受到影响。
因此,对于最新AMD处理器中存在新漏洞的恐惧,是导致用户、首席技术官和投资者担忧的原因。
与“熔毁”和“幽灵”不同,AMD处理器中的漏洞需要获得管理员权限才能被发现。
AMD的一位发言人表示:“对于AMD来说,安全是首要任务,我们会不断努力,确保用户在新风险出现时的安全。我们正在调查和分析白皮书中指出的芯片漏洞问题。”
在发布这份白皮书之前,CTS Labs的研究人员只给了AMD不到 24 小时时间,来调查研究他们发现的漏洞并做出回应。标准漏洞披露要求至少提前 90 天通知,以便公司有时间妥善处理漏洞。
在没有给公司足够的时间来解决问题的情况下,向公众披露漏洞可能是不负责任的行为,因为这样会给攻击者留下可利用的漏洞。谷歌的研究人员给了英特尔 6 个月时间来修复与“熔毁”和“幽灵”有关的问题。
安全研究人员还批评了CTS Labs发布的白皮书,因为它缺乏描述这些漏洞的技术细节。CTS-Labs表示,该公司向独立的安全研究人员、 Trail of Bits公司的首席执行官丹?圭多(Dan Guido)发送了技术报告。
目前还不清楚修复这些问题需要多长时间。CTS Labs表示,它还没有收到AMD的反馈。研究人员表示,这可能需要几个月的时间来修复,而硬件上的漏洞是无法修复的。
英特尔和微软仍在为“熔毁”和“幽灵”问题修补补丁,而这些补丁最终也会导致一些问题,包括降低受影响电脑的性能。(小狐狸)