Az izraeli kutatók nem tartották be az ilyenkor szokásos 90 napos türelmi időt - vélhetőleg azért, mert a megdőlő részvényárfolyamból nyereségre akartak szert tenni. Az AMD közben alig pár hét alatt előállhat a javításokkal.
Hirdetés
 

Amint arról beszámoltunk, a hónap közepén napvilágot látott az AMD Ryzen és EPYC processzorainak komoly hibáiról szóló beszámoló. A vállalat termékeiről kiderült, hogy az Intel processzorokhoz hasonló hardveres hibákkal rendelkeznek – összesen 13 biztonsági rést hordoznak magukban.

Kikényszerített gyors beavatkozás

Akár érzékeny adatokhoz is hozzáférhetnek az AMD-t érintő hibák miatt a támadók, közölték a felfedezést néhány napja bejelentő izraeli CTS-Labs kutatói. Különösen az ad aggodalomra okot, hogy a sebezhetőségek (Ryzenfall, Masterkey, Fallout, Chimera) a processzorok biztonságért felelő területét érintik. Az olyan fontos adatok védett tárolása van veszélyben, mint például a jelszavak vagy a titkosító kulcsok.

Az AMD rekordtempóval vizsgálta meg a kutatók értesüléseit, melyről a vállalat is csak 24 órával a nyilvánosságra hozatal előtt szerzett tudomást. Ez nem volt túl barátságos lépés a hibák felfedezőitől, mivel a bevett gyakorlat szerint a sérülékenységeket feltárók 90 napot szoktak adni az érintetteknek, hogy elég idő álljon rendelkezésükre elhárításukhoz. A Google például hat hónappal a felfedezésük és az Intel értesítése után állt csak az internetezők elé a Meltdown és a Spectre létezésének hírével.

Visszatérve a gyorsaságra: a gyártónak sikerült felmérni a hibákat, és azok javítása már folyamatban van. A sebezhetőségek mindegyikének hatása minimalizálható firmware-foltozások és BIOS-frissítések révén, melyeket az előttünk álló hetekben tervezünk kiadni - közölte Sarah Youngbauer. Az AMD szóvivője a nagy tempót a szűk határidővel indokolta, hozzátéve, hogy az eset mutatja, miért jobb, ha a sebezhető rendszerek fejlesztőinek 90 nap áll rendelkezésre a javítás elkészítésére.

Javíthatatlan hibák...

Felmerül a kérdés, miért nem tartotta be ezt az íratlan szabályt a CTS Labs. Utóbbi elmondása szerint azért ragaszkodtak a nyilvánosság azonnali eléréséhez, mert szerintük sok hónapnyi munka kell a hibák kijavításához, némelyik hardveres sebezhetőség pedig egyenesen kivédhetetlen. Az AMD azonban vitatja az izraeli kutatók állítását, azt ígérve, hogy legkésőbb a következő hónapban további információkkal állnak majd elő a sérülékenységek eltüntetésével kapcsolatban.

A chipgyártó jelenleg azt állítja, hogy a hibák nem a hardverrel, hanem a firmware-rel vannak. Ezeket pedig viszonylag könnyű szoftveresen kiiktatni. Mark Papermaster, az AMD műszaki vezetője leszögezte, hogy a 13 sebezhetőség megszüntetése nem fogja érinteni a lapkák teljesítményét. Vagyis a vállalat termékeit használóknak nem kell azzal a kellemetlen következménnyel szembenézniük, amivel az Intel CPU tulajdonosainak a Spectre és a Meltdown kapcsán.

Érdemes azt is fejben tartani, hogy az AMD-s hibák csak akkor használhatók ki, ha a támadó már egyébként is rendszergazdai jogosultsággal rendelkezik a célpont rendszeren. Ilyen helyzetben pedig sokat már nem számít, hogy a processzor sebezhetőségei miatt extra eszközök állnak rendelkezésére – adminisztrátori jogosultság mellett egyébként is szinte bármilyen malware telepíthető.

...vagy csak nagy pénzt akartak szakítani az izraeliek?

Időközben felmerült egy sokkal sötétebb indok is, mely a CTS Labset igencsak rossz színben tünteti fel. Weboldalukon olvasható jogi közleményük szerint közvetlen vagy közvetett módon gazdasági előnyöket szerezhetnek az általuk felfedezett hibákból.

Nem javítja ezen a téren az izraeliek pozícióit, hogy a CTS Labs pénzügyi igazgatója és társalapítója, Yaron Luk-Zilberman korábban befektetési alapok kezelését végezte. Mindazonáltal az érintett közölte, hogy semmilyen rövid vagy hosszú távú érdekeltségük nincsen sem az Intelben, sem az AMD-ben.

A biztonsági jelentés egyébként az AMD értesítését megelőzően kiszivárgott a Viceroy Research pénzügyi vállalat számára. Utóbbi elismerte, hogy ezt követően megpróbált pénzügyi előnyt kovácsolni az AMD részvényeinek hullámzásából. A CTS Labs viszont tagadta, hogy bármilyen kapcsolat lenne közte és a Viceroy Research között.

Biztonság

Ezek voltak az amerikai techcégek legnagyobb EU-s büntetései

A Google szerdai, 4,3 milliárdos rekord bírsága mellett az Európai Bizottság már korábban is kiosztott néhány csekket.
 
A szállodaipar soha nem látott hatékonysággal képes kiszolgálni a pihenést és a kikapcsolódást. Ugyanakkor rengeteg munka és erőforrás van mögötte, hogy ön ezt cikket hotelszobája kényelméből olvashatja.

a melléklet támogatója a TP-Link

Reakció „A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál” című cikkünkre, amely a CIO Hungary 2018 konferencia tudásmegosztást segítő programjának tapasztalatait foglalta össze.

A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.