微信号:kvm_virt

介绍:云计算,云技术,云运维,虚拟化,运维,分享在云计算/虚拟化/运维项目实施中的资讯、经验、技术,坚持干货.

安全机构:公布 AMD CPU 存在严重缺陷「附报告」

2018-03-14 19:55 云技术社区翻译


AMD疑似被抹黑,安全研究人员爆AMD存在严重缺陷


AMD芯片中新近发现的一系列漏洞并不是因为缺陷,而是因为研究人员公开的太匆忙。什么时候bug能有专业的公关!受影响的公司只提前24小时被提醒?这些缺陷可能是真实的,但做法是不合情理。


这些缺陷是由以色列网络安全研究中心CTS Labs发现的,并且给出了一系列引人注目的名字:Ryzenfall,Masterkey,Fallout和Chimera,以及相关标识,专用网站和描述它们的白皮书。


到目前为止,这正常:像Heartbleed,当然还有Meltdown和Specter这样的漏洞也会得到名称和徽标。


不同之处在于,在那些情况下,诸如英特尔,OpenSSL团队和AMD等受影响的各方提前悄然被提醒。这是“负责任的披露”的概念,并且让开发人员在公开发布之前先解决问题。


关于大公司应该对自己的缺陷进行宣传应该控制多少是合理的争论,但总的来说,为了保护用户的利益,公约往往得到遵守。然而,在这种情况下,CTS Labs团队在AMD完全形成并且几乎没有任何警告的情况下公布了他们的缺陷。



团队发现的缺陷是真实的,尽管它们需要管理权限才能执行级联操作,这意味着利用这些缺陷需要对目标系统进行相当程度的访问。这项研究描述了台湾公司ASmedia有意将其包含在芯片中的后门,后者与许多制造商合作生产组件。


访问需求使得它们比Meltdown和Specter更受限制,它们利用内存处理和体系结构级别的问题。他们肯定是认真的,但是他们被公开的方式引起了人们对网络的怀疑。


为什么要用军事上的恐吓手段针对AMD?为什么这些错误没有CVE编号,这是几乎所有严重问题的标准跟踪方法?为什么给予这么短的时间来回应?为什么不按常见问题解答建议,可以在几个月内创建一些修复程序,至少可以延迟发布直到它们可用? CTS“可能直接或间接地对AMD的业绩产生经济利益”有何披露?在这种情况下,这不是一个常见的情况。


很难动摇这个观点,即对AMD有一些仇恨。这并不能使缺陷更加严重,但它确实给带来了不好的味道。


AMD发表声明称:“我们正在调查我们刚刚收到的这份报告,以了解研究结果的方法和优点。”一天中很难做其他事情。


正如往常一样,这些重大错误,他们的覆盖范围,他们的真实程度,用户或企业是否会受到影响以及他们可以采取何种措施来防止这些漏洞,都是随着专家对数据的仔细分析和验证而产生的。


完整报告下载


请关注【云技术实践】公众号,后台回复:AMD


↓↓↓ 点击"阅读原文" 【加入云技术社区】

相关阅读:

高端私有云项目交流群,欢迎加入!

Intel CPU 曝致命漏洞:全球云计算厂商遭殃?

RightScale:2017年云计算调查报告|附下载

Forrester:混合云评测报告

Gartner:2018年基础设施和运营的十大技术趋势

云管理平台实践指南

 
云技术实践 更多文章 TensorFlow简明教程 「新注册微信公众号」将失去留言功能,这是怎么回事呢? 那些不敢辞职的人,到底是因为什么? 当当网或被海航系接盘 曾传收购估值超10亿美元 使用混合云需要考虑的三方面问题
猜您喜欢 暗时间:学会正确思考 《Go语言实战》笔记(十三) | Go 并发资源竞争 TPatch动态补丁系统(iOS) 深圳JavaEE首期班毕业第一周就业率61.5% 平均薪资13156元 【技术】电脑同步到iPhone上的照片怎么删除