В процессорах AMD Ryzen обнаружено 13 критических уязвимостей безопасности... или нет?

Самопровозглашённая израильская компания по безопасности под названием CTS-Labs запустила веб-сайт, на котором утверждается, что в процессорах AMD Ryzen найдены целых 13 уязвимостей безопасности в архитектуре Zen. По мнению исследователей, их уровень сопоставим с очень нашумевшими Meltdown и Spectre.

AMD Zen Security Vulnerabilities

AMD Zen Security Vulnerabilities

Тринадцать уязвимостей были сгруппированы в четыре сегмента, которые назвали: Masterkey, Ryzenfall, Fallout и Chimera. Как сообщается, им подвержены все процессоры на архитектуре Zen, а это собственно Ryzen, Threadripper, серверные EPYC, мобильные Ryzen и Ryzen Pro. Вкратце говоря, все они позволяют получить злоумышленнику доступ к защищённым разделам и тем самым к любой информации. Подробно c уязвимостями можно ознакомиться на сайте AMDflaws.com.

Но прежде чём изучать эти уязвимости нельзя не сказать один момент: все они требуют доступа администратора. Это уже по умолчанию делает их не такими уж и уязвимостями. Предоставляя права администратора третьим лицам – ну это уже риск, да и в довесок имея права админа можно наделять много ветра (что угодно) и без знания всяких Masterkey с Ryzenfall.

CTS-Labs заявила, что предоставила перед своей публикацией AMD 24 часа, дабы переварить всё это и подготовить какой-нибудь ответ. Вот с этого момента начинаются странные дела. Есть целый ряд причин, почему, предположительно, всё это – фейк и попытка манипуляции курсом акций AMD.

  • 24 часа на ознакомление с уязвимостями, которые были предоставлены AMD, сильно противоречат принятым в отрасли 90 или 180 дням;
  • Домен для amdflaws.com был создан 22 февраля 2018 года;
  • Компания CTS-Labs имеет хоть какую-то историю лишь с 2017 года;
  • Домен зарегистрирован не напрямую, а через domainsbyproxy.com;
  • Домен зарегистрирован в GoDaddy, в частном порядке. Контактная информация домена не является общедоступной;
  • Их официальный канал Youtube с видеороликом был создан в марте этого года;
  • Опубликованное видео выглядит слишком хорошо;
  • Такие имена, как Ryzenfall, звучат так, как будто какой-то маркетолог их придумал;
  • Точно 13 недостатков? Неудачное число?;
  • В техническом документе нет конкретных технических деталей;
  • Google про CTS-Labs знает очень-очень мало. Это странно как для агентства безопасности;
  • Части сайта cts-labs.com скопирована из общедоступных PDF-документов;
  • CTS-Labs специализируется на безопасности, но почему их сайт cts-labs.com даже не имеет активного сертификата SSL?
  • У CTS-Labs на сайте не указан физический адрес.

В итоге есть предположение, что данный «вброс» является попыткой манипуляции курсом акций AMD. От AMD уже последовал официальный ответ, в котором обещается разобраться в ситуации. В общем, будем следить за развитием событий.

Источник:
Guru3D

 
Яндекс.Метрика Рейтинг@Mail.ru