AMD芯片曝13個高危漏洞危害史詩級

2018-03-15 來源：評論：0

摘要：3月14日消息，以色列安全公司CTS-Labs研究發現，AMD Zen CPU架構存在多達13個高位安全漏洞，危害程度絲毫不亞于此前曝光的熔斷和幽靈漏洞。

　　3月14日消息，以色列安全公司CTS-Labs研究發現，AMD Zen CPU架構存在多達13個高位安全漏洞，危害程度絲毫不亞于此前曝光的熔斷和幽靈漏洞。

　　周二的公告沒有透露任何技術細節，但描述了在AMD芯片中存在的13個“高危”安全漏洞。顯然，該公司提前一天就通知了AMD公司。

　　報告描述了四個類別的漏洞，每個漏洞都有幾個不同之處。并且此次報告的漏洞都需要獲得管理員權限才能被發現，這些漏洞涉及AMD Ryzen桌面處理器、Ryzen Pro企業處理器、Ryzen移動處理器、EPYC數據中心處理器，不同漏洞對應的平臺不同，其中21種環境下已經被成功利用，還有11個存在被利用的可能。而且CTS-Labs聲稱沒有任何緩解措施。

　　這四個漏洞分別是：

　　Fallout

　　攻擊對象是服務器級的EPYC，攻擊者可以讀取和寫入受保護的內存區域，可以打通主機和虛擬機。

　　Ryzenfall

　　將影響EPYC服務器的漏洞允許攻擊者對受保護的內存區域進行讀取和寫入操作，這將可能被用來偷取由Windows Credential Guard保護機制保護的證書。

　　MASTERKEY

　　允許在安全處理器內安裝持久的惡意軟件，在內核模式下運行管理權限。它要求能夠用惡意軟件更新來重新啟動主板BIOS。這通常需要對一個框進行管理員級別或物理訪問，但是CTS-Labs認為這可以通過命令行實用程序進行遠程操作，并具有適當的權限。

　　Chimera

　　針對的不是處理器，而是配套的300系列芯片組。研究者發現，可以通過網絡向芯片組植入按鍵記錄器（Keylogger），進而直通主板BIOS，因為它就保存在與芯片組相連的一個8針串行ROM中。

　　AMD發言人回應說：“我們正在積極調查和分析白皮書中指出的芯片漏洞問題，由于這家安全公司過去并沒有與AMD的合作經歷，我們認為它們處理這件事情的方式不合適，即沒有給AMD合理的時間去調查研究它們的發現之前就向媒體公布了它們發現的漏洞。”

相關熱詞搜索：漏洞芯片

上一篇：2018：工控安全關鍵年 下一篇：工信部就開展網絡安全技術應用試點示范工作發布通知