13 марта Сеть облетела информация об обнаружении небольшой израильской компанией CTS Labs уязвимостей в чипах AMD. В отличие от обычной практики, специалисты не дали AMD времени, чтобы должным образом подготовиться и эффективно отреагировать. Мотивировали они своё поведение тем, что AMD якобы всё равно не успела бы за 3 месяца (стандартный срок неразглашения) выпустить заплатки, а некоторые аппаратные дыры и вовсе невозможно залатать.

Всё это и другие данные дали повод считать, что CTS Labs, в значительной степени преувеличившая значение угроз, является заинтересованной стороной (как минимум стремящейся сделать имя на скандале). Создатель Linux, в частности, посчитал, что внезапность и поспешность была обусловлена игрой заинтересованных сторон на котировках акций AMD.

Теперь история получила продолжение: AMD опубликовала официальный отчёт с анализом выявленных CTS Labs уязвимостей процессоров Ryzen и EPYC на специальной странице своего сайта. Компания отметила, что заплатки для всех уязвимостей будут выпущены для миллионов устройств в ближайшие недели и никак не скажутся на производительности. Наиболее продолжительное время может занять борьба с Chimera, которая требует внесения исправлений не самой AMD, а сторонним производителем чипсета. Так или иначе, все ошибки требуют внесения изменений в прошивку BIOS.

Другими словами, CTS Labs, по-видимому, оказалась неправа: AMD вполне по силам выпустить заплатки за несколько недель. И если бы компании был дан стандартный срок в 90 дней, а не менее 24 часов, как это случилось на практике, к тому времени вероятнее всего были бы давно доступны обновлённые прошивки BIOS, а многие пользователи их бы уже установили.

Пресс-секретарь AMD Сара Янгбауэр (Sarah Youngbauer) посетовала на этот неприятный факт: «Каждая из перечисленных проблем может быть устранена с помощью исправлений прошивки и стандартного обновления BIOS, которые мы планируем выпустить в ближайшие недели. Мы считаем, что этот случай является ярким примером того, почему существует стандартное 90-дневное окно уведомлений». Компания обещает в ближайшие недели предоставить расширенную информацию об анализе ошибок и исправлениях.

Как сообщают многие специалисты и независимые исследователи, злоумышленникам крайне сложно воспользоваться уязвимостями, о которых заявила CTS Labs. Старший вице-президент и главный технический директор AMD Марк Пейпермастер (Mark Papermaster) подтвердил в своём отчёте, что все выявленные проблемы требуют наличия у хакера административного доступа к системе.

Но это означает по сути неограниченный доступ с правом удалять, создавать или изменять любую из папок или файлов на компьютере, а также менять настройки. Любой злоумышленник, получивший несанкционированный доступ к административным ресурсам, тем самым уже имеет в арсенале целый спектр куда более эффективных и результативных атак. Более подробное описание малой полезности для злоумышленников 13 выявленных уязвимостей под громкими именами Masterkey, Ryzenfall, Fallout и Chimera компания AMD предлагает прочесть в отчёте независимой команды Trail of Bits.

Критики также указывали на правовую оговорку на веб-сайте CTS Labs: «Сообщаем, что мы можем прямо или косвенно быть экономически заинтересованы в показателях ценных бумаг компаний, чьи продукты являются предметом наших отчётов». Но в прошлую среду главный финансовый директор и соучредитель CTS Labs Ярон Лук-Зильберман (Yaron Luk-Zilberman), бывший менеджер хедж-фонда, сказал, что у него нет инвестиций (как краткосрочных, так и долговременных) в Intel или AMD.

Отчёт о безопасности CTS Labs за неделю до передачи в AMD просочился в финансовую компанию Viceroy Research, замеченную ранее в спекуляциях с игрой на понижении. Viceroy призналась, что использовала отчёт, чтобы попытаться снизить курс акций AMD. CTS Labs заявила, что не имеет отношения к Viceroy Research. AMD отказалась комментировать вопросы финансовой мотивации CTS Labs.

Источник

Похожие статьи:

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *