[已过期]12个高危安全漏洞?AMD官方回应Zen安全漏洞
近日,一个在2017年刚成立的、还没有注册自己官方网站、却在2月22日刚注册了AMDFlaws.com域名的以色列安全公司CTS-Labs声称,AMD Zen架构处理器存在13个高危漏洞,危险程度不亚于熔断、幽灵漏洞,并公布了白皮书。在315这个特殊的日子里,小编和大家一起来一探究竟。
(CTS-Labs声称的13个高危漏洞)
对于CTS-Labs的说法,AMD第一时间做出了回应,声称:“从未听闻CTS-Labs这家公司,这些漏洞也并未事先告知AMD而是直接公布给了媒体,官方正在进行调查和分析”。按照国际惯例,白帽子在发现漏洞之后,通常有90天时静默期让厂商来修复,这次AMD被打了个猝不及防。
CTS-Labs的研究也被各大科技媒体争相报道,各大媒体也在质疑CTS-Labs动机不纯,AnandTech便提出了不少疑点:
- CTS-Labs只给AMD 24小时回应,并首先联系了媒体。行业惯例是先联系厂商,给予90天静默期待厂商修复漏洞,初期并不会披露漏洞细节。
- CTS-Labs 2017年才刚刚成立,第一份公开安全报告就直指行业大佬。
- CTS-Labs并没有自己的官网,但为了公布此次漏洞专门申请了“AMDFlaws.com”域名,网站是2月22日刚注册。
- CTS-Labs雇佣了专门的公关公司联系媒体,和传统安全厂商的风格不同。
此次漏洞并非是Zen架构的漏洞,而是协处理器(ARM A5架构模块)和主板芯片组的漏洞,需要先管理员权限。在AnandTech的更新中,小编看到行业顾问 David Kanter 对于漏洞的解释:“所有的注入都需要root权限 —— 如果有人已经取得root权限,你的系统早已缴械投降。如果你已经取得管理员权限,注入Bug根本不需要这么复杂。”
上次在熔断和幽灵漏洞中怒怼Intel的Linux之父Linus Torvalds,对于CTS-Labs的行为也是忍不了,看看这位大神怎么说:“IT安全领域的底线又被刷新。如果你是从业人员,还有良心,你可以给你名片加一行字:“不,真的,我不是碧池,我发誓。”之前我觉得整个行业已经堕落,没想到还能如此荒谬。什么时候开始安全从业者需要像碧池一样吸引眼球了?”
此次事件中,结合“AMD”、“Ryzen 2000 系列发布”、“以色列安全公司”、“不亚于熔断和幽灵的漏洞”、“Linus Torvalds”等关键词,大家可以机智的推测一下幕后推手是谁。近1年来AMD取得了不少成果,获得不少好评,用户希望看到的是厂商的良性竞争,也希望AMD能够延续良好势头,带来更多优秀产品。
(素材来源于AMD、AMDFlaws.com、AnandTech、Linus Torvalds,版权归原作者所有)
最新评论 17
:华尔街压制amd 股票而已,13,14块高位入的庄家做空 等着4月新品在涨一波2手赚钱
:4月要出新品 可靠吗?
:"所有的注入都需要root权限" 说不定是农企自己夸自己诶
:这漏洞就跟没有一样啊……有root权限了还要漏洞做什么…
:虽然我也觉得是牙膏长干的,但这么明显太蠢了反而让人怀疑是不是无间道。。。
:我农那市值和收入,比某粗粮的几十分之一都少,哪有钱去演戏,Steam统计的GPU份额还被怼的不行……
回复 @水鱼:矿场份额高啊~
:肯定是牙膏厂下的黑手
:黄妈威武
:企业客户对于安全更加注重,对已经走了的客户不care,但是加强现有用户不放弃自家的决心就很重要了,手段脏一点也无所谓,估计是AMD又憋出新的企业级大招了,拭目以待。
:amd在企业级市场份额几乎为0
回复 @猪头猫:原来是原来,现在追求多核的年代,i家呵呵哒
:看了這個新聞我再多買了一倍AMD股票
:Intel这么干太明显了,有点猥琐了啊。
:i家这吃相。。
:感觉ryzen 2000系列频率能上来,单核应该更给力了