Diit.cz - Novinky a informace o hardware, software a internetu

AMD vydá patche na „bezpečnostní bugy“, nesníží výkon

AMD zanalyzovala situaci, kterou předložila „bezpečnostní společnost“ CTS Labs. V řádu týdnů vyjdou první BIOSy, které údajné hrozby budou řešit…

Začátkem minulého týdne se ozvala do té doby neznámá společnost CTS Labs, která kontaktovala řadu médií a analytiků. Rozeslala odkazy na vlastnoručně vytvořený web amdflaws.com, kde vyjmenovává řadu údajných kritických bezpečnostních hrozeb platforem AMD. Prakticky hned poté kontaktovala společnost Viceroy Research finanční analytiky, kterým předala zprávu, že vzhledem k bezpečnostním bugům odhaleným společností CTS Labs je hodnota akcií AMD nulová.

V tu chvíli už většina osob, která situaci sledovala, odtušila, že tu něco neklape. To se záhy potvrdilo. Nejprve vyšlo najevo, že Viceroy Research je známý manipulátor cen akcií, který je za své chování v několika zemích souzen nebo vyšetřován. Záhy vyšlo najevo, že CTS Labs byla založena teprve loni, její web byl spuštěn letos, nemá žádné zákazníky, celkem tři zaměstnance (kteří všichni tři vystupují v jí zveřejněných videích) a záběry interiérů společnosti jsou ve skutečnosti fotky stažené z internetu. Perličkou pak byly informace o stránkách, kde CTS Labs přiznávala, že informace na webu nemusí být pravdivé a že je nebude měnit ani aktualizovat, i kdyby se na situaci cokoli změnilo. Dále, že společnost může mít přímé i nepřímé ekonomické zájmy související se zveřejněným analýzy.

Několik reálných bezpečnostních analytiků pak upozornilo, že je záležitost úsměvná i z technologického hlediska. Arrigo Triulzi označil analýzy CTS Labs za „neuvěřitelně přehnané“. Vyšlo totiž najevo, že údajné bezpečnostní slabiny vzniknou teprve tehdy, když (např.) člověk s místním přístupem k systému a administrátorským oprávněním nahraje do systému hacknutý, ale skutečným vydavatelem digitálně podepsaný ovladače. Nebo pokud do sestavy naflashuje hacknutý BIOS.

Dovolím si ocitovat stručné shrnutí „bugů“ a jejich následků, které v diskusi k našemu původnímu článku zveřejnil náš čtenář Jan Ringoš:

1) MASTERKEY: flashnutí neautorizovaným BIOSem způsobí díry
2) RYZENFALL: admin může nahrát neautorizovaný kód na PSP
3) FALLOUT: výrobcem digitálně podepsaný driver má přístup k PSP
4) CHIMERA: výrobcem digitálně podepsaný driver může ovládat interní řadič chipsetu třetí strany

Pokud jde o stanovisko AMD, vydala společnost nejdříve krátké oznámení, ve kterém uvedla, že ze strany CTS Labs byla na situaci upozorněna méně než 24 hodin před zveřejněním webu a zprávy CTS Labs. Nyní doplnila výsledky prvotní analýzy:

  • Masterkey + PSP PE: Aktualizace firmwaru (BIOS) bude během pár týdnů, bez dopadu na výkon.
  • Ryzenfall + Fallout: Aktualizace firmwaru (BIOS) bude během pár týdnů, bez dopadu na výkon.
  • Chimera: Pracuje na aktualizaci (BIOS), který sníží rizika, jedná dále s autorem návrhu čipsetu na dalším řešení. Opět bez dopadu na výkon.

I když se nové BIOSy nakonec nějakým způsobem dostanou do většiny sestav, jejich flashování za účelem zabezpečení v podstatě postrádá smysl. Pokud má totiž někdo k sestavě fyzický přístup, administrátorská oprávnění a může do ní nainstalovat hacknutý (ovšem výrobcem digitálně podepsaný) ovladač či BIOS, pak je zkrátka jedno, jestli se bezpečnostní procesor zachová tak nebo onak, protože administrátor zkrátka už k systému plný přístup má.

Kompletní vyjádření AMD najdete zde.

Diskuse ke článku AMD vydá patche na „bezpečnostní bugy“, nesníží výkon

Čtvrtek, 22 Březen 2018 - 16:35 | tombomino | ad.1 fajn je to tvuj nazor. beru. Byt zase pro...
Čtvrtek, 22 Březen 2018 - 09:14 | Redmarx | Souhlas. Nesmyslne nechyby, ktere si vetsina...
Čtvrtek, 22 Březen 2018 - 00:06 | JirkaK | Já nic neobhajuju, jen jsem uváděl kolegu z omylu...
Středa, 21 Březen 2018 - 23:53 | JirkaK | Pionta je že tu někdo chtěl 8700k Delidovat ale...
Středa, 21 Březen 2018 - 22:40 | dawe | JirkaK, jak tu můžeš obhajovat Delid na Kčkový...
Středa, 21 Březen 2018 - 22:28 | dawe | Nevím proč ze sebe AMD dělá blbce CTS labs bych...
Středa, 21 Březen 2018 - 19:32 | tombomino | Jirko, chapes, ze tenhle prispevek s Titan X...
Středa, 21 Březen 2018 - 17:25 | JirkaK | Kolega měl problém se ztrátou záruky při delidu,...
Středa, 21 Březen 2018 - 17:01 | HCMIKI | Ak ti neprekaza cena, ktora je v rozmedzi 500 az...
Středa, 21 Březen 2018 - 14:18 | Jan Ringoš | V zásadě jsem vykradl a kostrbatě přeložil dva...

Zobrazit diskusi