Неделю назад израильская исследовательская группа CTS Labs на весь мир сообщила, что в процессорах на архитектуре Zen имеется ряд серьёзных уязвимостей безопасности. Вопреки бизнес-этике, CTS Labs перед публикацией своих исследований в общий доступ предоставила AMD всего 24 часа на ознакомление, аргументируя это тем, что AMD стандартных 90/180 дней на устранение не хватит, а быть может не хватит и года. AMD в тот же день выпустила заявление, мол в проблему изучат и разберутся. Минула неделя и теперь «красные» дали своё видение ситуации.
Как выяснилось, как минимум часть из этих уязвимостей действительно имеет место быть, только последствия куда менее страшны. Не так страшен волк, как его малюют – народная мудрость. По словам Марка Пейпермастера (Mark Papermaster), занимающего в AMD должность старшего технолога, уязвимости не столько касаются самой архитектуры Zen, сколько небольшой недоработки пришивки защищённой области процессора (Secure Processor), а также прошивки чипсета.
Также я напомню, что для того, чтобы воспользоваться данными уязвимостями, необходим доступ администратора. С доступом администратора можно наделать много бед и без всяких уязвимостей, а к тому же сама ОС Windows пресекает попытки получать Root-доступ третьим лицам, как и вообще любой антивирус.
Марк говорит, что сейчас в недрах AMD идёт работа для устранения уязвимостей программным методом. Так для устранения Masterkey, Ryzenfall, Fallout и PSP Privilege Escalation готовится обновление BIOS. По словам Марка, никакого влияния на производительность это не окажет. Чуть сложнее с уязвимостью Chimera, затрагивающей чипсеты, серверные процессоры EPYC и их близких родственников Threadripper. Здесь потребуется как обновление BIOS, так и некоторая доработка в чипсетах. Что там конкретнее по чипсетам пока не говорят.
В заключении остаётся лишь добавить, что реализовать заплатки AMD планирует в течении ближайших нескольких недель.