請選擇 進入手機版 | 繼續訪問電腦版
找回密碼註冊
作者: sxs112.tw
查看: 35830|回復: 3

文章分享:

+ MORE精選文章:

[處理器 主機板] AMD Zen連曝12個高危安全漏洞:全系列中招

[複製鏈接]| 回復
sxs112.tw 發表於 2018-3-14 10:23:34 | 顯示全部樓層 |閱讀模式
Meltdwon熔斷、Spectre幽靈漏洞最近把Intel折騰得夠嗆,AMD、ARM雖然也受影響但相對小很多,不過現在,針對AMD的一記重拳突然打了出來。
AMD Zen連曝12個高危安全漏洞:全系列中招 - XFastest - a01f3d7dbb2d49c9b6dfc73788b5f212.png
以色列安全公司CTS-Labs研究發現,AMD Zen CPU架構存在多達12個高安全漏洞,危害程度絲毫不亞於熔斷、幽靈漏洞。這些漏洞波及AMD Ryzen桌上型處理器、Ryzen Pro企業處理器、Ryzen行動處理器、EPYC數據中心處理器,不同漏洞對應的平台不同,其中21種環境下已經被成功利用,還有11個存在被利用的可能。

利用這些漏洞可以給AMD Zen平台造成多種嚴重危害,包括:控制Ryzen/EPYC安全處理器、控制Ryzen主機板、利用惡意軟體感染AMD處理器、竊取企業網路敏感訊息、繞開幾乎所有終端安全軟體、造成硬體物理損壞。


這些漏洞分為四大類:

1、Masterkey
包括三個漏洞,波及Zen架構全系產品,存在於安全啟動(Secure Boot)功能中,可通過特製的Ring 0權限級別軟件修改系統BIOS,進而繞過安全檢查。漏洞原因是AMD Zen架構整合的安全處理器(一個32位元的Cortex-A5架構模組)沒有使用自己的單獨物理記憶體空間,而是共享系統記憶體。

2、Ryzenfall
包括四個漏洞,全系列Ryzen都受影響,針對的還是Zen安全處理器,可導致公共和私有密鑰洩露,並在晶片層面執行,源於安全處理器和整合記憶體控制器設計的缺陷。另外漏洞還可以繞過用來保存和認證密碼的Windows Defender Credentials Guard,以及其他安全功能,甚至能藉機擴散到其他電腦上。

3、Fallout
包括三個漏洞,可以打通虛擬機和主機,攻擊對像是伺服器的EPYC。

4、Chimera
包括兩個漏洞,針對的不是處理器,而是配套的300系列晶片組。研究者發現,可以通過網路向晶片組植入按鍵記錄器(Keylogger),進而直通主機板BIOS,因為它就保存在與晶片組相連的一個ROM中。

研究人員已經公佈了相關漏洞的白皮書,但出於保護目的隱藏了技術細節,同時也給出了解決辦法,AMD有90天的時間來修復它們。

消息來源
ken9028 發表於 2018-3-14 11:18:28 | 顯示全部樓層
我看到的訊息是CTS-Labs要求AMD24小時內說明處理,而不是一般業界的90天,"CTS-Lab 也並非老牌實驗室,2017 年才成立,且公司網頁相關訊息太少,網頁也沒有 SSL 憑證,白皮書文末甚至註明 CTS-Lab 可能間接或是直接享有利益。相關訊息指向公關操作,甚至也有人懷疑是放空手法影響 AMD 股價。"後面那一段是在別網站看到的,而且不止一個
回復 支持 1 反對 0

使用道具 舉報

ken9028 發表於 2018-3-14 14:32:59 | 顯示全部樓層
不知為什麼,有好幾個網站把這個消息先遮起來了,原連結還在,但首頁看不到。而看外國網站也不少抱著對這家發報消息的公司懷疑的態度等AMD的回應,因為CTS-Labs這家公司沒守業界常規
 樓主| sxs112.tw 發表於 2018-3-14 15:23:52 | 顯示全部樓層
ken9028 發表於 2018-3-14 14:32
不知為什麼,有好幾個網站把這個消息先遮起來了,原連結還在,但首頁看不到。而看外國網站也不少抱著對這家 ...

剛看了一下,貌似也是這樣

主要太不厚道了
回復 支持 1 反對 0

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則

小黑屋|手機版|無圖浏覽|網站地圖|XFastest  

GMT+8, 2018-6-19 18:44 , Processed in 0.284302 second(s), 31 queries .

專業網站主機規劃 威利 100HUB.COM

© 2001-2013 Comsenz Inc. Designed by ARTERY.cn

快速回復 返回頂部 返回列表