CTS-Labsは、AMDのRyzenおよびEPYCチップにSpectreのような脆弱性を発見しました
CTS-ラボ、[1] イスラエルに拠点を置く未知のセキュリティ会社は、AMDのRyzenおよびEPYCチップの重大なCPUの欠陥を報告しました。 同社は、犯罪者がマルウェアを注入して個人データを漏洩する可能性のある13の脆弱性を明らかにしたと主張しています。
同社は、AMDのプロセッサの脆弱性は、最も保護されていると思われる部分に欠陥があるため、非常に心配していると主張しています。 脆弱な部分には、パスワード、ログイン情報、暗号化キーなどの個人情報が含まれています。 その漏れは深刻な損傷を引き起こすでしょう。
過去2か月間、IT関連のニュースサイトとフォーラムは、SpectreとMeltdownの脆弱性に関する警告でちらつきます。[2] これは、何百万ものIntel、AMD、およびその他の最新のプロセッサユーザーのサイバー攻撃に高いリスクをもたらします。 現在のAMDの脆弱性がさらに別の深刻な脅威であるかどうかは、依然として議論の余地のある問題です。
CTS-LabsはAMDに脆弱性をチェックするために24時間を与えました
各社が分析する弱点の基準期限は90日です。 期間内に、欠陥の責任を負う会社は、実際のテスト結果が作成されるときに、問題についてコメントせず、問題を承認または拒否する権利を有します。
RyzenおよびEPYCチップにセキュリティの脆弱性がある場合、AMDは24時間以内にプロセッサの状態を確認するように要求されています。[3] 重大な欠陥を修正するための1日では、問題に適切に対処したり、少なくともそれが本物かどうかを確認したりするのに十分ではありません。 悪名高いSpectreとMeltdownのパッチでさえ、Googleの研究者の要求に代わって、6か月以内に対処する必要があります。
調査の結果、脆弱性の深刻さのためにこのような迅速な対応が必要なのか、それともCTS-Labsの根拠のない気まぐれなのかが明らかになることが期待されています。 AMDの会社はすぐに対応し、見つかったと思われるすべての問題をチェックすることを約束しましたが、CTS-Labsの信頼性の欠如についてコメントすることを制限しませんでした。
警備会社が調査結果を調査して対処するための合理的な時間を提供せずに、調査結果を報道機関に公開することは珍しいことです。
最初は嘲笑されていましたが、問題は本物であることが承認されました
CTS Labsのテスト結果が明らかになったため、当初はITスペシャリストの間で意見が分かれました。 彼らのほとんどは設立を承認せず、プロジェクト全体を「嘲笑」しました。 Linuxの作成者であるLinusTorvaldsは、AMDのRyzenおよびEPYCチップに関する主張に反論しようとした活発な人物の1人でした。 彼はグーグル+の議論で言った:
基本的に「BIOSまたはCPUマイクロコードを悪意のあるバージョンに置き換えると、セキュリティ上の問題が発生する可能性があります」というセキュリティアドバイザリを最後に見たのはいつですか。 うん。
後で彼は付け加えた:
すべてのハードウェアスペースに欠陥が見つかりました。 安全なデバイスはありません。デバイスに物理的にアクセスできる場合は、デバイスを手に取って離れることができます。 私はもうセキュリティの専門家ですか?
しかし、AMDは現在の状況に迅速に対応し、驚くべきことに、反対の当事者にとっては、セキュリティ上の欠陥が現実のものであることを認めました。 同社の研究者の1人であるDanGuidoは、この欠陥を確認しました。[4]
リリースに関する誇大宣伝に関係なく、バグは実際のものであり、テクニカルレポート(公開されていない)に正確に記述されており、エクスプロイトコードは機能します。
Ryzenfall、Master Key、Fallout、およびChimera。 これらの欠陥の危険性は何ですか?
Ryzenfall、Master Key、Fallout、Chimeraと呼ばれる、AMDのRyzenプロセッサとEPYCサーバープロセッサで明らかになったセキュリティ上の欠陥は、まだ犯罪者によって悪用されていないようです。
これらの欠陥の危険性はかなり誇張されています。 マルウェアの注入やデータ漏洩のためにそれらを悪用するには、犯罪者には管理者権限が必要であることが判明しました。 欠陥が大きくなることは予想されていませんが、PCに管理アクセスできる可能性のある詐欺師は、対象のデバイスで実質的に何でもする可能性があります。[5]
したがって、欠陥に関する最新ニュースを常に把握し、AMDのプロセッサのパッチを含むBIOSアップデートをインストールすることをお勧めします。