更新于2018-03-14

[已过期]12个高危安全漏洞？AMD官方回应Zen安全漏洞

近日，一个在2017年刚成立的、还没有注册自己官方网站、却在2月22日刚注册了AMDFlaws.com域名的以色列安全公司CTS-Labs声称，AMD Zen架构处理器存在13个高危漏洞，危险程度不亚于熔断、幽灵漏洞，并公布了白皮书。在315这个特殊的日子里，小编和大家一起来一探究竟。

(CTS-Labs声称的13个高危漏洞)

对于CTS-Labs的说法，AMD第一时间做出了回应，声称：“从未听闻CTS-Labs这家公司，这些漏洞也并未事先告知AMD而是直接公布给了媒体，官方正在进行调查和分析”。按照国际惯例，白帽子在发现漏洞之后，通常有90天时静默期让厂商来修复，这次AMD被打了个猝不及防。

CTS-Labs的研究也被各大科技媒体争相报道，各大媒体也在质疑CTS-Labs动机不纯，AnandTech便提出了不少疑点：

CTS-Labs只给AMD 24小时回应，并首先联系了媒体。行业惯例是先联系厂商，给予90天静默期待厂商修复漏洞，初期并不会披露漏洞细节。
CTS-Labs 2017年才刚刚成立，第一份公开安全报告就直指行业大佬。
CTS-Labs并没有自己的官网，但为了公布此次漏洞专门申请了“AMDFlaws.com”域名，网站是2月22日刚注册。
CTS-Labs雇佣了专门的公关公司联系媒体，和传统安全厂商的风格不同。

此次漏洞并非是Zen架构的漏洞，而是协处理器(ARM A5架构模块)和主板芯片组的漏洞，需要先管理员权限。在AnandTech的更新中，小编看到行业顾问 David Kanter 对于漏洞的解释：“所有的注入都需要root权限 —— 如果有人已经取得root权限，你的系统早已缴械投降。如果你已经取得管理员权限，注入Bug根本不需要这么复杂。”

上次在熔断和幽灵漏洞中怒怼Intel的Linux之父Linus Torvalds，对于CTS-Labs的行为也是忍不了，看看这位大神怎么说：“IT安全领域的底线又被刷新。如果你是从业人员，还有良心，你可以给你名片加一行字：“不，真的，我不是碧池，我发誓。”之前我觉得整个行业已经堕落，没想到还能如此荒谬。什么时候开始安全从业者需要像碧池一样吸引眼球了？”

此次事件中，结合“AMD”、“Ryzen 2000 系列发布”、“以色列安全公司”、“不亚于熔断和幽灵的漏洞”、“Linus Torvalds”等关键词，大家可以机智的推测一下幕后推手是谁。近1年来AMD取得了不少成果，获得不少好评，用户希望看到的是厂商的良性竞争，也希望AMD能够延续良好势头，带来更多优秀产品。

(素材来源于AMD、AMDFlaws.com、AnandTech、Linus Torvalds，版权归原作者所有)