Во вторник, 20 марта, производитель процессоров AMD официально подтвердил наличие в своих продуктах уязвимостей RyzenFall, MasterKey, Fallout и Chimera. Согласно заявлению компании, исправления для них будут выпущены в ближайшие несколько недель.
Представленная AMD оценка уязвимостей совпадает с отчетом израильской компании CTS Labs, первой сообщившей о них неделю назад, а также с результатами аудита экспертов Trail of Bits, Check Point и Crowdstrike. На ознакомление с отчетом об уязвимостях и подготовку исправления CTS Labs дала AMD лишь 24 часа, что противоречит принятым нормам ответственного раскрытия уязвимостей. В связи с этим появились слухи, будто сообщение CTS Labs было попыткой манипулировать акциями AMD и не соответствует действительности. Тем не менее, во вторник производитель сам подтвердил наличие уязвимостей в своих процессорах Ryzen и EPYC.
Уязвимости MasterKey, Fallout и RyzenFall затрагивают AMD Platform Security Processor (PSP) – защищенный чип chip-on-chip, отделенный от остального процессора AMD на аппаратном уровне. Как правило, чип хранит пароли и другую чувствительную информацию. Уязвимость Chimera затрагивает чипсет AMD (компонент материнской платы), обеспечивающий связь между процессором, памятью и периферией. С ее помощью злоумышленник может выполнить код и передавать другим компонентам поддельные данные.
Согласно заявлению производителя, опасность уязвимостей сильно преувеличена, поскольку для их эксплуатации требуются права администратора. К примеру, для эксплуатации Meltdown и Spectre в процессорах Intel такой уровень доступа не нужен.
Подписывайтесь на канал “Engine.MD” в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах.