Amint arról beszámoltunk, a hónap közepén napvilágot látott az AMD Ryzen és EPYC processzorainak komoly hibáiról szóló beszámoló. A vállalat termékeiről kiderült, hogy az Intel processzorokhoz hasonló hardveres hibákkal rendelkeznek – összesen 13 biztonsági rést hordoznak magukban.

Kikényszerített gyors beavatkozás

Akár érzékeny adatokhoz is hozzáférhetnek az AMD-t érintő hibák miatt a támadók, közölték a felfedezést néhány napja bejelentő izraeli CTS-Labs kutatói. Különösen az ad aggodalomra okot, hogy a sebezhetőségek (Ryzenfall, Masterkey, Fallout, Chimera) a processzorok biztonságért felelő területét érintik. Az olyan fontos adatok védett tárolása van veszélyben, mint például a jelszavak vagy a titkosító kulcsok.

Az AMD rekordtempóval vizsgálta meg a kutatók értesüléseit, melyről a vállalat is csak 24 órával a nyilvánosságra hozatal előtt szerzett tudomást. Ez nem volt túl barátságos lépés a hibák felfedezőitől, mivel a bevett gyakorlat szerint a sérülékenységeket feltárók 90 napot szoktak adni az érintetteknek, hogy elég idő álljon rendelkezésükre elhárításukhoz. A Google például hat hónappal a felfedezésük és az Intel értesítése után állt csak az internetezők elé a Meltdown és a Spectre létezésének hírével.

Visszatérve a gyorsaságra: a gyártónak sikerült felmérni a hibákat, és azok javítása már folyamatban van. A sebezhetőségek mindegyikének hatása minimalizálható firmware-foltozások és BIOS-frissítések révén, melyeket az előttünk álló hetekben tervezünk kiadni - közölte Sarah Youngbauer. Az AMD szóvivője a nagy tempót a szűk határidővel indokolta, hozzátéve, hogy az eset mutatja, miért jobb, ha a sebezhető rendszerek fejlesztőinek 90 nap áll rendelkezésre a javítás elkészítésére.

Javíthatatlan hibák...

Felmerül a kérdés, miért nem tartotta be ezt az íratlan szabályt a CTS Labs. Utóbbi elmondása szerint azért ragaszkodtak a nyilvánosság azonnali eléréséhez, mert szerintük sok hónapnyi munka kell a hibák kijavításához, némelyik hardveres sebezhetőség pedig egyenesen kivédhetetlen. Az AMD azonban vitatja az izraeli kutatók állítását, azt ígérve, hogy legkésőbb a következő hónapban további információkkal állnak majd elő a sérülékenységek eltüntetésével kapcsolatban.

A chipgyártó jelenleg azt állítja, hogy a hibák nem a hardverrel, hanem a firmware-rel vannak. Ezeket pedig viszonylag könnyű szoftveresen kiiktatni. Mark Papermaster, az AMD műszaki vezetője leszögezte, hogy a 13 sebezhetőség megszüntetése nem fogja érinteni a lapkák teljesítményét. Vagyis a vállalat termékeit használóknak nem kell azzal a kellemetlen következménnyel szembenézniük, amivel az Intel CPU tulajdonosainak a Spectre és a Meltdown kapcsán.

Érdemes azt is fejben tartani, hogy az AMD-s hibák csak akkor használhatók ki, ha a támadó már egyébként is rendszergazdai jogosultsággal rendelkezik a célpont rendszeren. Ilyen helyzetben pedig sokat már nem számít, hogy a processzor sebezhetőségei miatt extra eszközök állnak rendelkezésére – adminisztrátori jogosultság mellett egyébként is szinte bármilyen malware telepíthető.

...vagy csak nagy pénzt akartak szakítani az izraeliek?

Időközben felmerült egy sokkal sötétebb indok is, mely a CTS Labset igencsak rossz színben tünteti fel. Weboldalukon olvasható jogi közleményük szerint közvetlen vagy közvetett módon gazdasági előnyöket szerezhetnek az általuk felfedezett hibákból.

Nem javítja ezen a téren az izraeliek pozícióit, hogy a CTS Labs pénzügyi igazgatója és társalapítója, Yaron Luk-Zilberman korábban befektetési alapok kezelését végezte. Mindazonáltal az érintett közölte, hogy semmilyen rövid vagy hosszú távú érdekeltségük nincsen sem az Intelben, sem az AMD-ben.

A biztonsági jelentés egyébként az AMD értesítését megelőzően kiszivárgott a Viceroy Research pénzügyi vállalat számára. Utóbbi elismerte, hogy ezt követően megpróbált pénzügyi előnyt kovácsolni az AMD részvényeinek hullámzásából. A CTS Labs viszont tagadta, hogy bármilyen kapcsolat lenne közte és a Viceroy Research között.