• 欢迎光临本网站,有人模仿我的站 注意:本站唯一域名:www cnit5 com(原创稿件投递)请联系:QQ442727852期待与您的合作!
  • 设为首页 设为首页 收藏 收藏本站
  • 首页
  • IT行业
  • IT新闻
  • IT资讯
  • 数码产品
  • IT人物
  • 科技资讯
  • IT财经
  • 手机资讯
  • 游戏新闻
  • 区块链
  • IT资讯网
    主页 > IT资讯 >
  • AMD承诺针对安全处理器错误进行固件修复

  • 发布时间:2018-03-21 16:15  来源:www.cnit5.com 作者:小管
  • 4.09K
  •   AMD已经回答到上周报道了一系列影响其平台安全处理器(PSP)和芯片组的安全漏洞的。该公司承认这些错误并表示,在未来几周内,它将有新的固件可用于解决PSP的错误。这些固件修复还将缓解芯片组错误。

      以色列公司CTS发现了四个单独的缺陷家族,称它们为Masterkey(影响Ryzen和Epyc处理器),Ryzenfall(影响Ryzen,Ryzen Pro和Ryzen Mobile),Fallout(仅击中Epyc)和Chimera(应用于Ryzen和Ryzen Pro系统使用Promonotory芯片组)。

      Masterkey,Ryzenfall和Fallout都是影响平台安全处理器(PSP)的一些问题,平台安全处理器是一种小型ARM内核,集成到芯片中以提供某些附加功能,例如基于固件的TPM安全模块。PSP有自己的固件和操作系统,独立于主x86 CPU运行。运行在x86 CPU上的软件可以使用设备驱动程序访问PSP功能,尽管此访问仅限于管理员/根级帐户。PSP通常也不会暴露给访客虚拟机,因此虚拟化环境通常会受到保护。

    (IT资讯网www.cnit5.com)

      理论上,PSP甚至可以保留x86 CPU的秘密; 例如,此功能用于固件TPM功能。但是,Ryzenfall和Fallout漏洞使攻击者可以在PSP上运行不受信任的,攻击者控制的代码。这个攻击者代码可以透露PSP的秘密,破坏固件TPM的完整性,AMD的加密虚拟内存以及各种其他平台功能。

      Masterkey的bug更糟糕; PSP没有正确验证其固件的完整性。启用恶意固件的系统可能会永久安装恶意PSP固件,并在重新启动后持续存在。(IT资讯www.cnit5.com)

      奇美拉错误影响Ryzen系统中的许多(但不是全部)芯片组。该芯片组包含自己的嵌入式处理器和固件,这些缺陷意味着攻击者可以再次在芯片组上运行不受信任的,攻击者控制的代码。CTS表示,这些漏洞代表了一种后门,故意插入系统以使系统受到攻击,但没有提出任何理由。与PSP缺陷一样,利用这个需要管理员访问系统。

      AMD今天的答复表示,所有四种错误系列都是真实的,并且可以在CTS确定的各种组件中找到。该公司表示正在开发针对三个PSP缺陷的固件更新。这些修补程序将在“未来几周内提供”,将通过系统固件更新进行安装。固件更新也会以某种不明确的方式缓解Chimera问题,AMD表示它正在与AMD开发Promontory的第三方硬件公司ASMedia合作开发适当的保护。CTS在其报告中写道,虽然一个CTS攻击媒介是一个固件缺陷(因此原则上可纠正),但另一个是硬件缺陷。如果属实,可能没有有效的解决办法。

      这些问题的性质似乎与1月份公布的早期PSP缺陷并无太大差别; 该漏洞涉及固件TPM,并且再次允许在PSP上执行攻击者控制的代码。这个bug似乎没有受到任何夸夸其谈。它们与英特尔等同于PSP(管理引擎,ME)中的大量缺陷似乎也没有显着差异。事实上,一些英特尔ME错误更糟糕,因为它们在某些情况下可能会被远程利用。

      关于虫子的惊人之处不在于它们的存在,而在于它们披露的方式。CTS在公开宣布发布漏洞之前仅给予了24小时通知。在向AMD报告问题之前,CTS还与安全公司Trail of Bits共享错误以及概念验证,以便Trail of Bits可以验证错误是真实的并且可以按照CTS描述的方式进行利用。虽然计算机安全行业没有固定的,严格的向供应商泄露错误的程序,但90天的通知期更为典型。

      这个短暂的通知期让Linux创建者Linus Torvalds说CTS的报告“ 看起来更像是股票操纵而不是安全咨询”。

      当卖空Viceroy Research(声称与CTS没有关系)说这些缺陷对AMD来说是“致命的”,并且其股价应该降至0美元时,这种看法并没有得到帮助,并且该公司应该宣布破产。这样的评估显然是荒谬的:PSP是非必要的(一些Ryzen固件允许它被禁用,尽管丢失了某些功能),其缺陷可以通过固件更新来修复,并且缺陷只能被攻击者可以通过超级用户访问系统。为了表明这样的错误不仅会损害AMD的股价,而且会导致公司完全退出市场,无法从Zen体系结构,AMD的x86许可证,与微软和索尼签订的长期合同或GPU架构中拯救任何东西。没有可能的事实理由。

    有人模仿我们的网站请记住我们的唯一地址(www cnit5 com)为您提供以上文章内容。郑重声明:IT行业资讯网站刊登/转载此文出于传递更多信息之目的 ,并不意味着赞同其观点或论证其描述。本站不负责其真实性。
    上一篇:外媒报道澳大利亚政府认为网络安全“世界领先”
    下一篇:人工智能创造了3种新的职业类别
  • 图说天下
  • 浮躁的IT信息世界,个人安全意识到底有多重要! 浮躁的IT信息世界,个人安全
  • Facebook事件背后,剑桥分析公司扮演什么角色 Facebook事件背后,剑桥分析
  • 人工智能创造了3种新的职业类别 人工智能创造了3种新的职业
  • 外媒报道澳大利亚政府认为网络安全“世界领先” 外媒报道澳大利亚政府认为网
  • 40 岁之后,程序员真的就穷途末路了吗? 40 岁之后,程序员真的就穷
  • 腾讯立知即刻的创新是否会“短命” 腾讯立知即刻的创新是否会“
  • 处于舆论场中央,共享单车如何才能破冰 处于舆论场中央,共享单车如
  • 微信大规模封号,这是绞杀微商的信号吗 微信大规模封号,这是绞杀微
  • Windows Server Insider预览版Build 17046发布 Windows Server Insider预览
  • 如果微信还款要收费 用户们你们怎么看? 如果微信还款要收费 用户们
  • 首页 | IT行业 | IT新闻 | IT资讯 | 数码产品 | IT人物 | 科技资讯 | IT财经 | 手机资讯 |
  • Copyright @ 2012 {dede:global.cfg_basehost/, Copyright © 2002-2014 CNIT5. IT资讯网 IT新闻网 IT行业网 版权所有
    欢迎广大网友来本网站投稿,网站内容来自于互联网或网友提供,有人模仿我的站(本站唯一域名地址:www cnit5 com)