Az izraeli kutatók nem tartották be az ilyenkor szokásos 90 napos türelmi időt - vélhetőleg azért, mert a megdőlő részvényárfolyamból nyereségre akartak szert tenni. Az AMD közben alig pár hét alatt előállhat a javításokkal.
Hirdetés
 

Amint arról beszámoltunk, a hónap közepén napvilágot látott az AMD Ryzen és EPYC processzorainak komoly hibáiról szóló beszámoló. A vállalat termékeiről kiderült, hogy az Intel processzorokhoz hasonló hardveres hibákkal rendelkeznek – összesen 13 biztonsági rést hordoznak magukban.

Kikényszerített gyors beavatkozás

Akár érzékeny adatokhoz is hozzáférhetnek az AMD-t érintő hibák miatt a támadók, közölték a felfedezést néhány napja bejelentő izraeli CTS-Labs kutatói. Különösen az ad aggodalomra okot, hogy a sebezhetőségek (Ryzenfall, Masterkey, Fallout, Chimera) a processzorok biztonságért felelő területét érintik. Az olyan fontos adatok védett tárolása van veszélyben, mint például a jelszavak vagy a titkosító kulcsok.

Az AMD rekordtempóval vizsgálta meg a kutatók értesüléseit, melyről a vállalat is csak 24 órával a nyilvánosságra hozatal előtt szerzett tudomást. Ez nem volt túl barátságos lépés a hibák felfedezőitől, mivel a bevett gyakorlat szerint a sérülékenységeket feltárók 90 napot szoktak adni az érintetteknek, hogy elég idő álljon rendelkezésükre elhárításukhoz. A Google például hat hónappal a felfedezésük és az Intel értesítése után állt csak az internetezők elé a Meltdown és a Spectre létezésének hírével.

Visszatérve a gyorsaságra: a gyártónak sikerült felmérni a hibákat, és azok javítása már folyamatban van. A sebezhetőségek mindegyikének hatása minimalizálható firmware-foltozások és BIOS-frissítések révén, melyeket az előttünk álló hetekben tervezünk kiadni - közölte Sarah Youngbauer. Az AMD szóvivője a nagy tempót a szűk határidővel indokolta, hozzátéve, hogy az eset mutatja, miért jobb, ha a sebezhető rendszerek fejlesztőinek 90 nap áll rendelkezésre a javítás elkészítésére.

Javíthatatlan hibák...

Felmerül a kérdés, miért nem tartotta be ezt az íratlan szabályt a CTS Labs. Utóbbi elmondása szerint azért ragaszkodtak a nyilvánosság azonnali eléréséhez, mert szerintük sok hónapnyi munka kell a hibák kijavításához, némelyik hardveres sebezhetőség pedig egyenesen kivédhetetlen. Az AMD azonban vitatja az izraeli kutatók állítását, azt ígérve, hogy legkésőbb a következő hónapban további információkkal állnak majd elő a sérülékenységek eltüntetésével kapcsolatban.

A chipgyártó jelenleg azt állítja, hogy a hibák nem a hardverrel, hanem a firmware-rel vannak. Ezeket pedig viszonylag könnyű szoftveresen kiiktatni. Mark Papermaster, az AMD műszaki vezetője leszögezte, hogy a 13 sebezhetőség megszüntetése nem fogja érinteni a lapkák teljesítményét. Vagyis a vállalat termékeit használóknak nem kell azzal a kellemetlen következménnyel szembenézniük, amivel az Intel CPU tulajdonosainak a Spectre és a Meltdown kapcsán.

Érdemes azt is fejben tartani, hogy az AMD-s hibák csak akkor használhatók ki, ha a támadó már egyébként is rendszergazdai jogosultsággal rendelkezik a célpont rendszeren. Ilyen helyzetben pedig sokat már nem számít, hogy a processzor sebezhetőségei miatt extra eszközök állnak rendelkezésére – adminisztrátori jogosultság mellett egyébként is szinte bármilyen malware telepíthető.

...vagy csak nagy pénzt akartak szakítani az izraeliek?

Időközben felmerült egy sokkal sötétebb indok is, mely a CTS Labset igencsak rossz színben tünteti fel. Weboldalukon olvasható jogi közleményük szerint közvetlen vagy közvetett módon gazdasági előnyöket szerezhetnek az általuk felfedezett hibákból.

Nem javítja ezen a téren az izraeliek pozícióit, hogy a CTS Labs pénzügyi igazgatója és társalapítója, Yaron Luk-Zilberman korábban befektetési alapok kezelését végezte. Mindazonáltal az érintett közölte, hogy semmilyen rövid vagy hosszú távú érdekeltségük nincsen sem az Intelben, sem az AMD-ben.

A biztonsági jelentés egyébként az AMD értesítését megelőzően kiszivárgott a Viceroy Research pénzügyi vállalat számára. Utóbbi elismerte, hogy ezt követően megpróbált pénzügyi előnyt kovácsolni az AMD részvényeinek hullámzásából. A CTS Labs viszont tagadta, hogy bármilyen kapcsolat lenne közte és a Viceroy Research között.

Biztonság

Mélyen a zsebébe nyúlt az Adobe

A cég története legnagyobb súlyú akvizícióját jelentette be. A marketingautomatizációs megoldásokat fejlesztő Markto 4,75 milliárd dollárért lesz az Adobe része.
 
Hirdetés

Megvédhetjük adat-önmagunkat?

Változnak a védelmi képességeink és a lehetőségeink is, ami miatt új játékszabályokat kell írnunk. Erről is szól majd a minden eddiginél pörgősebb és interaktívabb, megújult ITBN CONF-EXPO.

Hirdetés

Így tervezzünk IAM projektet – A kiemelt jogosultságok menedzsmentje

A kiemelt jogosultságok kezelésének legégetőbb kérdései, hogy hol vannak az informatikai rendszerek kritikus pontjai, kiknek van hozzáférése ezekhez, illetve mennyire tartjuk lojálisnak őket ahhoz, hogy rájuk bízzuk az érzékeny adatainkat és az üzletmenet folytonossága szempontjából létfontosságú rendszereink működését.

Az IT feladata a technológiahasználat leegyszerűsítése – lenne. A technológiához való hozzáférés biztosítása és felügyelete azonban megbonyolítja a dolgokat. Vajon át lehet vágni a gordiuszi csomót?

a melléklet támogatója a Balasys

ÉLŐBEN SIÓFOKRÓL

SAP NOW Hungary:
technológia és HR-víziók

Az SAP kétnapos rendezvénye az idén is követhető a Bitporton!

TOVÁBB A KÖZVETÍTÉSRE >

Reakció „A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál” című cikkünkre, amely a CIO Hungary 2018 konferencia tudásmegosztást segítő programjának tapasztalatait foglalta össze.

A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.