Nul
(Afbeelding: foto bestand)
AMD is het onderzoeken van een rapport dat de vorderingen van een aantal van de vennootschap processors zijn kwetsbaar voor meer dan een dozijn beveiligingslekken.
De chipmaker zei in een verklaring dinsdag dat het “actief onderzoek en analyse van de’ bevindingen van de CTS-Labs, een grotendeels onbekende Tel Aviv op basis van cybersecurity opstarten vorig jaar opgericht.
Uur eerder, het opstarten geplaatst op een website, een research paper, en een video-beschrijven van 13 kwetsbaarheden, die het had gebrandmerkt Ryzenfall, Master Key, Fallout, en de Chimera, die beweerde kunnen aanvallers verkrijgen van gevoelige gegevens van AMD ‘ s Ryzen en EPYC processors, gebruikt op miljoenen apparaten.
Specifieke kenmerken van de kwetsbaarheden werden niet gespecificeerd in de whitepaper, wat veel te benaderen met de nodige voorzichtigheid en scepsis.
Wat gekend is is dat de gebreken zijn niet gemakkelijk uitgebuit — een aanvaller moet krijgen beheerdersrechten eerste, die kan worden verkregen met behulp van malware te escaleren van een ingelogde gebruiker rechten. Dat niveau van toegang tot een machine is al aangetast.
Zustersite CNET heeft het volledige overzicht van elke set van kwetsbaarheden.
Maar de ontdekking en publicatie van deze gebreken is voldaan aan ire van veel vooraanstaande namen in de beveiliging van de gemeenschap voor hoe de onderzoekers hebben ontdekt en bekend gemaakt van de gebreken.
De onderzoekers gaf AMD minder dan 24 uur van te onderzoeken op de kwetsbaarheden en reageren voor de publicatie van hun rapport. In bijna elk verantwoordelijk kwetsbaarheid openbaarmaking, bedrijven krijgen ten minste 90 dagen voor het corrigeren van een fout-die kan worden verlengd, indien overeengekomen door de ontdekker, indien aan bepaalde voorwaarden is voldaan.
In het geval van een Meltdown en Spectre, de andere meest recente ronde van de chip beveiligingslekken die van invloed zijn geweest Intel, ARM en sommige AMD chips, onderzoekers gaven de fabrikanten meer dan zes maanden tot uitgifte van fixes en patches.
AMD gooide schaduw van het bedrijf, zei dat het “het ongebruikelijk is voor een beveiligingsbedrijf publiceren van het onderzoek aan de pers zonder het verstrekken van een redelijke hoeveelheid tijd voor het bedrijf te onderzoeken en het adres van haar bevindingen uit.”
Uren na het onderzoek werd voor het eerst gepubliceerd, security-onderzoeker Dan Guido bevestigd dat de fouten zijn echte, na het onderzoeksteam had nam contact met hem op om naar hun werk
“Ondanks de hype rond de release, de bugs zijn echte, nauwkeurig beschreven in de technische rapport (die niet openbaar is afaik), en hun exploit code werkt,” zei hij in een tweet.
Hij vertelde ZDNet dat hij gelooft dat hij het zo ver “de enige die gezien heeft specifieke kenmerken van de kwetsbaarheden.
Tot voor kort voordat dit artikel werd gepubliceerd, was het niet duidelijk is of de kwetsbaarheden werden zelfs echte.
De bevindingen hadden de onderzoekers van de veiligheid op de rand van alle dag. Een security professional vertelde me dat de manier waarop dit verslag werd uitgebracht heeft alleen gemaakt onderzoekers verdachte van het bedrijf, de bevindingen, maar ook de onderzoekers’ motieven.
Reddit ging in volledige “samenzwering man” – modus, het aanroepen van de legitimiteit van het bedrijf in kwestie.
Guido ‘ s toelichting geven geloof hechten aan de geldigheid van het onderzoek, maar hoe de Israëlische onderzoeksbureau benaderde de bekendmaking zal worden herinnerd als een les in hoe het niet-publiceren van het veiligheidsonderzoek.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Lees Meer
ZDNET ONDERZOEKEN
Rechtszaken dreigen infosec onderzoek — net toen we het het meest nodig hebt
NSA ‘ s Ragtime-programma richt zich op de Amerikanen, de gelekte bestanden tonen
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0