來自以色列的安全機構CTS Labs突然曝出猛料,聲稱AMD Zen架構處理器存在四組12個高位安全漏洞,涉及Ryzen、EPYC全線產品。
AMD第一時間對此發表了一份官方聲明:
“我們剛剛收到一家名為CTS Labs的公司的報告,聲稱我們的特定處理器產品可能存在安全漏洞。我們正在積極進行調查和分析。這家公司AMD從未聽聞,而且不同尋常的是,這家安全機構直接將自己的發現公布給了媒體,卻沒有給AMD合理的時間調查和解決問題。安全是AMD的首要職責,我們持續努力確保我們客戶的安全,應對新的安全威脅。如有後續進展我們會第一時間公告。”
可以看出,由於事發突然,特別是這些漏洞發現並沒有按照行業慣例提前通知並給予90天的靜默期,AMD被打了個措手不及,目前還無法完全證實這些漏洞的真偽。
即便是真的存在漏洞,這件事也顯得很詭異。
國外權威硬體媒體AnandTech在報導此事的時候,也首先提出了一系列質疑:
1、CTS Labs隻給了AMD 24小時的時間知曉問題所在,而行業標準都是在漏洞發現後,提前聯繫涉事公司,並且要等90天才會對外公開,以便修複解決,而且初期不會披露漏洞技術細節。
2、在告知AMD和公開之前,CTS Labs首先聯繫了一些媒體,向他們通報情況。
3、CTS Labs 2017年才剛剛成立,資質尚淺,這只是他們的第一份公開安全報告,也未公開自己的任何客戶。
4、CTS Labs並沒有自己的官方網站,公布此次漏洞卻專門建立了一個名為AMDFlaws.com的網站,還是2月22日剛剛注冊的。
5、從網站布局看,很像是已經提前準備了很久,並未考慮AMD的回應。
6、CTS Labs還雇傭了一個公關公司來回應業界和媒體聯繫,這並非正常安全公司的風格。
AnandTech就這些疑問向CTS Labs發去郵件查詢,尚未得到任何回應。
很多人可能會和此事將近來鬧得沸沸揚揚的Meltdown熔斷、Spectre幽靈漏洞相比,但後者是Google等權威安全團體早就確認的,而且第一時間和Intel、AMD、ARM、微軟、亞馬遜等等業內相關企業都做了聯繫溝通,共同解決,最後媒體踢爆屬於意外曝料,而且當時距離解禁期已經很近了。
另外值得注意的是,這次曝光的漏洞,都是涉及AMD Zen處理器內部的安全協處理器(ARM A5架構模塊)和芯片組(祥碩給AMD外包做的),和Zen微架構本身並無任何關係,並非核心級別問題。
還有媒體報導指出,攻擊者如果要利用這些漏洞,都必須提前獲取管理員權限,然後才能通過網絡安裝惡意軟體,危害程度並不是最高的,屬於二等漏洞。
這一年來AMD處理器可以說是氣勢如虹,不斷在各個領域取得突飛猛進,得到了行業和用戶的普遍認可。眼下第二代Ryzen CPU也即將發布,卻突然出現這麽一件很詭異的漏洞事件,背後有什麽不為人知的故事?確實值得玩味。
後續進展,我們將持續保持關注。
香港九龍灣馬來街興發大廈15樓D室