Az izraeli kutatók nem tartották be az ilyenkor szokásos 90 napos türelmi időt - vélhetőleg azért, mert a megdőlő részvényárfolyamból nyereségre akartak szert tenni. Az AMD közben alig pár hét alatt előállhat a javításokkal.

Amint arról beszámoltunk, a hónap közepén napvilágot látott az AMD Ryzen és EPYC processzorainak komoly hibáiról szóló beszámoló. A vállalat termékeiről kiderült, hogy az Intel processzorokhoz hasonló hardveres hibákkal rendelkeznek – összesen 13 biztonsági rést hordoznak magukban.

Kikényszerített gyors beavatkozás

Akár érzékeny adatokhoz is hozzáférhetnek az AMD-t érintő hibák miatt a támadók, közölték a felfedezést néhány napja bejelentő izraeli CTS-Labs kutatói. Különösen az ad aggodalomra okot, hogy a sebezhetőségek (Ryzenfall, Masterkey, Fallout, Chimera) a processzorok biztonságért felelő területét érintik. Az olyan fontos adatok védett tárolása van veszélyben, mint például a jelszavak vagy a titkosító kulcsok.

Az AMD rekordtempóval vizsgálta meg a kutatók értesüléseit, melyről a vállalat is csak 24 órával a nyilvánosságra hozatal előtt szerzett tudomást. Ez nem volt túl barátságos lépés a hibák felfedezőitől, mivel a bevett gyakorlat szerint a sérülékenységeket feltárók 90 napot szoktak adni az érintetteknek, hogy elég idő álljon rendelkezésükre elhárításukhoz. A Google például hat hónappal a felfedezésük és az Intel értesítése után állt csak az internetezők elé a Meltdown és a Spectre létezésének hírével.

Visszatérve a gyorsaságra: a gyártónak sikerült felmérni a hibákat, és azok javítása már folyamatban van. A sebezhetőségek mindegyikének hatása minimalizálható firmware-foltozások és BIOS-frissítések révén, melyeket az előttünk álló hetekben tervezünk kiadni - közölte Sarah Youngbauer. Az AMD szóvivője a nagy tempót a szűk határidővel indokolta, hozzátéve, hogy az eset mutatja, miért jobb, ha a sebezhető rendszerek fejlesztőinek 90 nap áll rendelkezésre a javítás elkészítésére.

Javíthatatlan hibák...

Felmerül a kérdés, miért nem tartotta be ezt az íratlan szabályt a CTS Labs. Utóbbi elmondása szerint azért ragaszkodtak a nyilvánosság azonnali eléréséhez, mert szerintük sok hónapnyi munka kell a hibák kijavításához, némelyik hardveres sebezhetőség pedig egyenesen kivédhetetlen. Az AMD azonban vitatja az izraeli kutatók állítását, azt ígérve, hogy legkésőbb a következő hónapban további információkkal állnak majd elő a sérülékenységek eltüntetésével kapcsolatban.

A chipgyártó jelenleg azt állítja, hogy a hibák nem a hardverrel, hanem a firmware-rel vannak. Ezeket pedig viszonylag könnyű szoftveresen kiiktatni. Mark Papermaster, az AMD műszaki vezetője leszögezte, hogy a 13 sebezhetőség megszüntetése nem fogja érinteni a lapkák teljesítményét. Vagyis a vállalat termékeit használóknak nem kell azzal a kellemetlen következménnyel szembenézniük, amivel az Intel CPU tulajdonosainak a Spectre és a Meltdown kapcsán.

Érdemes azt is fejben tartani, hogy az AMD-s hibák csak akkor használhatók ki, ha a támadó már egyébként is rendszergazdai jogosultsággal rendelkezik a célpont rendszeren. Ilyen helyzetben pedig sokat már nem számít, hogy a processzor sebezhetőségei miatt extra eszközök állnak rendelkezésére – adminisztrátori jogosultság mellett egyébként is szinte bármilyen malware telepíthető.

...vagy csak nagy pénzt akartak szakítani az izraeliek?

Időközben felmerült egy sokkal sötétebb indok is, mely a CTS Labset igencsak rossz színben tünteti fel. Weboldalukon olvasható jogi közleményük szerint közvetlen vagy közvetett módon gazdasági előnyöket szerezhetnek az általuk felfedezett hibákból.

Nem javítja ezen a téren az izraeliek pozícióit, hogy a CTS Labs pénzügyi igazgatója és társalapítója, Yaron Luk-Zilberman korábban befektetési alapok kezelését végezte. Mindazonáltal az érintett közölte, hogy semmilyen rövid vagy hosszú távú érdekeltségük nincsen sem az Intelben, sem az AMD-ben.

A biztonsági jelentés egyébként az AMD értesítését megelőzően kiszivárgott a Viceroy Research pénzügyi vállalat számára. Utóbbi elismerte, hogy ezt követően megpróbált pénzügyi előnyt kovácsolni az AMD részvényeinek hullámzásából. A CTS Labs viszont tagadta, hogy bármilyen kapcsolat lenne közte és a Viceroy Research között.

Biztonság

CAPTCHA? Gotcha!

A gépi kutakodás ellen beépített, népszerű biztonsági lépcső már egy ideje nem tekinthető betonvédelemnek, de egy új kutatási projekt a korábbiaknál is hatékonyabban tudja kijátszani a szöveges CAPTCHA-t.
 
A nyilvános felhőmegoldással szembeni aggályok az elmúlt néhány évben folyamatosan fókuszban voltak, de az on-premise megoldások sem tökéletesek. Mit válasszunk?

a melléklet támogatója a Cisco Systems

Hirdetés

Így mond all-int a Cisco, ha infrastruktúrát készít

A hiperkonvergens infrastruktúrák úgy biztosítják a felhő gyorsaságát és rugalmasságát, hogy a bizalmas adatokat nem kell külső szolgáltatóra bízni. A Cisco Hyperflex all-in-one megoldásába pedig már multi-cloud platformok is integrálhatók.

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.