新訊

AMD針對CTS Labs研究發表初步鑒定之安全更新

第三方研究機構CTS Labs於12日向AMD告知目前多款處理器存在潛在安全漏洞,並在24小時內向大眾公布此訊息。安全性與保護使用者資料一直是AMD首要任務,我們現已迅速回應,並完成初步鑒定及擬定問題紓解計畫,具體細節請參考21日AMD技術長Mark Papermaster在部落格發表之資訊。



AMD-Ryzen-22.jpg

經調查後發現之重點如下:
AMD將安全性與保護使用者資料視為最重要的使命,我們相信這次發現的每項漏洞皆可透過未來數周內釋出的韌體修補程式及標準BIOS更新排除,且這些修補程式與更新不會對系統運行效能產生影響。

AMD首席技術長Mark Papermaster部落格資訊內容
3月12日,AMD收到CTS實驗室的研究通知,指出AMD某些產品存在安全漏洞,且CTS研究機構在其後24小時內便對外公佈此發現。安全性與保護使用者資料一直是AMD首要任務,我們已經迅速對這項安全研究進行評估,並擬定對應的問題紓解計畫。此為我們首次公開更新這項研究發展,其中涵蓋對問題的技術評估及計畫中的解決措施。

第三方研究機構人員發現的安全漏洞與AMD「Zen」CPU架構或Google Project Zero於1月3公佈的漏洞完全無關。這些漏洞與AMD安全處理器當中管理嵌入式安全控制處理器的韌體,以及一些支援AMD處理器的Socket AM4和Socket TR4桌上型平台之晶片組相關。

如下文之細節,AMD已迅速完成評估,並致力於開發和部署階段性解決措施。值得注意的是,該研究中提出的所有漏洞,皆需獲得系統管理員權限後才能被利用,獲得管理員權限將授予使用者無限制的系統訪問權,包括刪除、建立、修改資料夾與檔案,以及變更任何設置。任何獲得未經授權之管理員權限的駭客,能發出遠超過該研究辨認出的廣泛攻擊手段和類型。此外,目前所有現代化作業系統和擁有企業級品質的虛擬機監視器都具有許多有效的安全控制措施,例如Windows系統中的Microsoft Windows Credential Guard,可用以防止未經授權的管理權限,並克服安全問題。獨立安全研究公司Trail of Bits發佈的聲明中,闡述利用這些漏洞的困難程度,Trail of Bits與第三方機構研究人員簽約,以驗證研究人員的發現。

下表列出三大類安全漏洞、AMD影響評估及AMD計畫採取的行動,且AMD將在未來幾周內提供更多相關分析與問題紓解計畫。

amd_cts_labs_2.jpg

▌延伸閱讀