AMD芯片曝光13个安全漏洞:危害也是史诗级的[Migage]

Source
AMD芯片曝光13个安全漏洞AMD芯片曝光13个安全漏洞

  新浪数码讯 3月14日消息,以色列安全公司CTS-Labs研究发现,AMD Zen CPU架构存在多达13个高位安全漏洞,危害程度丝毫不亚于此前曝光的熔断和幽灵漏洞。

  周二的公告没有透露任何技术细节,但描述了在AMD芯片中存在的13个“高危”安全漏洞。显然,该公司提前一天就通知了AMD公司。

  报告描述了四个类别的漏洞,每个漏洞都有几个不同之处。并且此次报告的漏洞都需要获得管理员权限才能被发现,这些漏洞涉及AMD Ryzen桌面处理器、Ryzen Pro企业处理器、Ryzen移动处理器、EPYC数据中心处理器,不同漏洞对应的平台不同,其中21种环境下已经被成功利用,还有11个存在被利用的可能。而且CTS-Labs声称没有任何缓解措施。

  这四个漏洞分别是:

  Fallout

  攻击对象是服务器级的EPYC,攻击者可以读取和写入受保护的内存区域,可以打通主机和虚拟机。

  Ryzenfall

  将影响EPYC服务器的漏洞允许攻击者对受保护的内存区域进行读取和写入操作,这将可能被用来偷取由Windows Credential Guard保护机制保护的证书。

  MASTERKEY

  允许在安全处理器内安装持久的恶意软件,在内核模式下运行管理权限。它要求能够用恶意软件更新来重新启动主板BIOS。这通常需要对一个框进行管理员级别或物理访问,但是CTS-Labs认为这可以通过命令行实用程序进行远程操作,并具有适当的权限。

  Chimera

  针对的不是处理器,而是配套的300系列芯片组。研究者发现,可以通过网络向芯片组植入按键记录器(Keylogger),进而直通主板BIOS,因为它就保存在与芯片组相连的一个8针串行ROM中。

  AMD发言人回应说:“我们正在积极调查和分析白皮书中指出的芯片漏洞问题,由于这家安全公司过去并没有与AMD的合作经历,我们认为它们处理这件事情的方式不合适,即没有给AMD合理的时间去调查研究它们的发现之前就向媒体公布了它们发现的漏洞。”(于泽)


媒体:今年315,苹果海底捞拼多多等公司最危险……[Migage]
分析师:新iPad Pro屏11寸 iPhone SE今年没戏[Migage]
抛储短期压制棉价 棉市的“一波芳华”正在酝酿[Migage]
伦镍库存再刷低位 短期镍价或偏强震荡[Migage]
沽空港元的对冲基金见好就收 不想挑战金管局"底线"[Migage]
美元将遭受更多痛楚?这一趋势释放不祥之兆[Migage]
今年楼市政策基调:差别化调控 租售并举[Migage]
银监会保监会整合 组建中国银行保险监督管理委员会[Migage]
全国政协委员:增加租赁房用地供给可缓解房价压力[Migage]
资本压力加剧A股银行今年已披露 再融资4200亿[Migage]
Migage News
Migage 6Park
Migage WXC
Migage CNBeta
Migage Yeeyi
Migage TieXue
Migage SinaFiance
Migage Hexun
Migage Fenghuang
Migage XKB
OZbargain
Migage Bloomberg
Migage SMH
Migage YahooTW
记者手记:贸易战殷鉴不远,来者可追[Migage]
法国失业园丁巧遇马克龙 爱丽舍宫为其联系工作[Migage]
英国打捞队寻找战争沉船宝藏 瞄准3000亿英镑黄金[Migage]
上亿美元新钞不翼而飞 利比里亚调查前总统儿子[Migage]
各国教师待遇:美国年薪6万美金 俄罗斯挣不到钱[Migage]