PCDVD數位科技討論區
第1頁 共6頁 1 2 3 4 下一頁 最後 »
每頁顯示此主題的 10 個文章

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   系統組件 (https://www.pcdvd.com.tw/forumdisplay.php?f=19)
-   -   【轉】AMD 處理器也有安全疑慮?!Zen 微架構與對應晶片組受到全面性影響… (https://www.pcdvd.com.tw/showthread.php?t=1143647)

a9607 2018-03-14 09:39 AM
【轉】AMD 處理器也有安全疑慮?!Zen 微架構與對應晶片組受到全面性影響…
 
引用:
出處

https://www.techbang.com/posts/5730...sively-impacted

摘錄

來自以色列的 CTS-Labs 公布於 AMD Zen 微架構處理器當中發現到問題,甚至由 ASMedia 協同設計製造的晶片組也有後門存在。

根據官方網頁,來自於以色列的 CTS-Labs 發表 AMD Zen 微架構以及相對應晶片組的 13 種安全性漏洞,其中絕大多數均與 Zen 微架構內嵌負責安全性的 ARM Cortex-A5 處理器有關。而由台灣 ASMedia 協助設計製造的對應晶片組也被發現問題,甚至包含無法輕易修復的硬體瑕疵

這 13 個問題大致上能夠分成 MASTERKEY 3 種、RYZENFALL 4 種、FALLOUT 3 種、CHIMERA 2 種(與晶片組有關),最後 1 個則是 AMD PSP 平台安全處理器特權提升有關。MASTERKEY 經確認能夠影響 Ryzen 與 EPYC,能夠藉由韌體當中的惡意程式碼影響安全處理器的運作,譬如關閉 fTPM(Firmware Trusted Platform Module)或是 SEV(Secure Encrypted Virtualization)。



嗯…

不管是 I、A兩社那家的產品,看來要觀察個兩代了…


:think:

florance 2018-03-14 10:13 AM
轉貼節錄部分內容:
---
根據官方網頁,來自於以色列的 CTS-Labs 發表 AMD Zen 微架構以及相對應晶片組的 13 種安全性漏洞,
其中絕大多數均與 Zen 微架構內嵌負責安全性的 ARM Cortex-A5 處理器有關。

而由台灣 ASMedia 協助設計製造的對應晶片組也被發現問題,甚至包含無法輕易修復的硬體瑕疵。

這 13 個問題大致上能夠分成 MASTERKEY 3 種、RYZENFALL 4 種、FALLOUT 3 種、CHIMERA 2 種 (與晶片組有關),
最後 1 個則是 AMD PSP 平台安全處理器特權提升有關。

MASTERKEY 經確認能夠影響 Ryzen 與 EPYC,能夠藉由韌體當中的惡意程式碼影響安全處理器的運作,
譬如關閉 fTPM (Firmware Trusted Platform Module) 或是 SEV (Secure Encrypted Virtualization)。

若是想要利用 MASTERKEY,需要先行燒錄 1 個有問題的 BIOS 檔案。

---
CTS-Lab 在告知 AMD 相關資訊之後,僅給予 24 小時做出回應,相較一般業界標準 90 天以上顯得相當不尋常
CTS-Lab 也並非老牌實驗室,2017 年才成立,且公司網頁相關訊息太少,網頁也沒有 SSL 憑證,
白皮書文末甚至註明 CTS-Lab 可能間接或是直接享有利益。

相關訊息指向公關操作,甚至也有人懷疑是放空手法影響 AMD 股價。
目前 AMD 內部正在調查這些問題是否屬實,並表示安全為第一要務。
---
看圖主要是從韌體(FW)下手嗎?


大寫哥的主戰場出來了...

st202 2018-03-14 01:09 PM
刷BIOS? Root? jailbreaking?
哭狗/貧果會對Root/越獄負責?

fakler 2018-03-14 02:51 PM
http://news.mydrivers.com/1/569/569745.htm
故意潑髒水?AMD官方回應Zen安全漏洞

引用:
國外權威硬件媒體AnandTech在報導此事的時候,也首先提出了一系列質疑:

1、CTS-Labs只給了AMD 24小時的時間知曉問題所在,而行業標準都是在漏洞發現後,提前聯繫涉事公司,並且要等90天才會對外公開,以便修復解決,而且初期不會披露漏洞技術細節。

2、在告知AMD和公開之前,CTS-Labs首先聯繫了一些媒體,向他們通報情況。

3、CTS-Labs 2017年才剛剛成立,資質尚淺,這只是他們的第一份公開安全報告,也未公開自己的任何客戶。

4、CTS-Labs並沒有自己的官方網站,公佈此次漏洞卻專門建立了一個名為AMDFlaws.com的網站,還是2月22日剛剛註冊的。

5、從網站佈局看,很像是已經提前準備了很久,並未考慮AMD的回應。

6、CTS-Labs還僱傭了一個公關公司來回應業界和媒體聯繫,這並非正常安全公司的風格。

AnandTech就這些疑問向CTS-Labs發去郵件查詢,尚未得到任何回應。

...

另外值得注意的是,這次曝光的漏洞,都是涉及AMD Zen處理器內部的安全協處理器(ARM A5架構模塊)和芯片組(祥碩給AMD外包做的),和Zen微架構本身並無任何關係,並非核心級別問題。

還有媒體報導指出,攻擊者如果要利用這些漏洞,都必須提前獲取管理員權限,然後才能通過網絡安裝惡意軟件,危害程度並不是最高的,屬於二等漏洞。

這一年來AMD處理器可以說是氣勢如虹,不斷在各個領域取得突飛猛進,得到了行業和用戶的普遍認可。眼下第二代Ryzen CPU也即將發布,卻突然出現這麼一件很詭異的漏洞事件,背後有什麼不為人知的故事?確實值得玩味。

後續進展,我們將持續保持關注。

hellshaman 2018-03-14 04:23 PM
簡單說就是這些漏洞可以讓駭客取得ROOT權限

但必須先取得ROOT權限才能使用這個漏洞

繞口令嗎.....

tbsky 2018-03-14 05:58 PM
引用:
作者hellshaman
簡單說就是這些漏洞可以讓駭客取得ROOT權限

但必須先取得ROOT權限才能使用這個漏洞

繞口令嗎.....


取得 root/console 權限才能幹麻的漏洞,基本上都無視了吧。人生苦短啊..

st202 2018-03-14 06:28 PM
引用:
作者tbsky
取得 root/console 權限才能幹麻的漏洞,基本上都無視了吧。人生苦短啊..

不能這麼說吧
脫褲子放屁有其必要性 :laugh:

healthfirst. 2018-03-14 07:33 PM
整台電腦都被人控制了
還在乎什麼漏洞?

西亞Skin 2018-03-14 08:42 PM
陰特爾造謠無下限,非得要拖別人下水

gridlabel 2018-03-15 11:58 AM
版上不是有一位E開頭的AMD白嗎,怎麼沒有見到它來澄清


所有的時間均為GMT +8。 現在的時間是08:29 AM.
第1頁 共6頁 1 2 3 4 下一頁 最後 »
每頁顯示此主題的 10 個文章

vBulletin Version 3.0.1
powered_by_vbulletin 2024。