CTS-Labs, AMD'nin Ryzen ve EPYC yongalarında Spectre benzeri bir güvenlik açığı keşfetti
CTS-Laboratuvarları,[1] İsrail merkezli bilinmeyen bir güvenlik şirketi, AMD'nin Ryzen ve EPYC yongalarında ciddi bir CPU hatası bildirdi. Şirket, suçluların kötü amaçlı yazılım enjekte etmesine ve kişisel verileri sızdırmasına izin verecek 13 güvenlik açığını ortaya çıkardığını iddia ediyor.
Şirket, AMD'nin işlemcilerinin güvenlik açıklarının inanılmaz derecede endişe verici olduğunu iddia ediyor, çünkü kusur en çok korunması gereken kısımlarda bulunuyor. Savunmasız kısımlar, parolalar, oturum açma bilgileri, şifreleme anahtarı vb. dahil olmak üzere kişisel bilgileri içerir. sızıntısı ciddi hasara neden olur.
Son birkaç aydır, BT ile ilgili haber siteleri ve forumlar, Spectre ve Meltdown güvenlik açıklarıyla ilgili uyarılarla yanıp sönüyor.[2] Milyonlarca Intel, AMD ve diğer modern işlemci kullanıcıları için siber saldırılara karşı yüksek risk oluşturuyor. Mevcut AMD'nin güvenlik açığının başka bir ciddi tehdit olup olmadığı hala tartışmalı bir sorudur.
CTS-Labs, AMD'ye güvenlik açıklarını kontrol etmesi için 24 saat verdi
Bir zayıflığın ilgili şirket tarafından analiz edilmesi için standart süre 90 gündür. Süre içinde kusurdan sorumlu firma, konu hakkında yorum yapmama ve fiili test sonuçları hazırlandığında sorunu onaylama veya reddetme hakkına sahiptir.
Ryzen ve EPYC yongalarında güvenlik açığı oluşması durumunda AMD'den işlemcilerinin durumunu 24 saat içinde doğrulaması istendi.[3] Kritik kusurları düzeltmek için bir gün, sorunu yeterince ele almak veya en azından gerçek olup olmadığını kontrol etmek için yeterli değildir. Kötü şöhretli Spectre ve Meltdown yamalarının bile, Google araştırmacılarının talebi adına altı ay içinde ele alınması gerekiyor.
Devam eden soruşturmanın, güvenlik açığının ciddiyeti nedeniyle bu kadar hızlı bir yanıtın gerekli olup olmadığını veya bunun sadece CTS-Labs'ın temelsiz bir hevesi olup olmadığını ortaya koyması bekleniyor. AMD şirketi hemen tepki gösterdi ve sözde bulunan tüm sorunları kontrol etmeye söz verdi, ancak CTS-Labs'ın güvenilmezliği hakkında yorum yapmaktan geri durmadı:
bir güvenlik firmasının araştırmasını basına yayınlaması, şirkete bulgularını araştırması ve ele alması için makul bir süre vermeden olağandışıdır.
Başlangıçta alay konusu olan meselelerin gerçek olduğu onaylandı
CTS Labs test sonuçlarının ortaya çıkması, başlangıçta BT uzmanları arasında farklı görüşlere yol açtı. Çoğu, temelleri onaylamadı ve tüm projeyle “alay etti”. Linux'un yaratıcısı Linus Torvalds, AMD'nin Ryzen ve EPYC yongaları ile ilgili iddiaları çürütmeye çalışan aktif isimlerden biriydi. Bir Google + tartışmasında şunları söyledi:
En son ne zaman temel olarak 'BIOS'u veya CPU mikro kodunu kötü bir sürümle değiştirirseniz, bir güvenlik sorununuz olabilir' şeklinde bir güvenlik uyarısı gördünüz? Evet.
Daha sonra ekledi:
Tüm donanım alanında bir kusur buldum. Hiçbir cihaz güvenli değildir: Bir cihaza fiziksel erişiminiz varsa, onu alıp uzaklaşabilirsiniz. Henüz bir güvenlik uzmanı mıyım?
Ancak AMD mevcut duruma hızlı tepki verdi ve şaşırtıcı bir şekilde karşı taraflara güvenlik açığının gerçek olduğunu kabul etti. Şirketin araştırmacılarından Dan Guido, kusuru doğruladı:[4]
Sürümün etrafındaki hype ne olursa olsun, hatalar gerçektir, teknik raporlarında (herkese açık olmayan) doğru bir şekilde açıklanmıştır ve açıklardan yararlanma kodları çalışır.
Ryzenfall, Master Key, Fallout ve Chimera. Bu kusurların tehlikeleri nelerdir?
Ryzenfall, Master Key, Fallout ve Chimera olarak adlandırılan AMD'nin Ryzen işlemcisinde ve EPYC sunucu işlemcilerinde ortaya çıkan güvenlik açıkları henüz suçlular tarafından istismar edilmemiş gibi görünüyor.
Bu kusurların tehlikesi oldukça abartılı. Kötü amaçlı yazılım enjeksiyonu ve veri sızıntısı için bunlardan yararlanmak için suçluların yönetici ayrıcalıklarına ihtiyacı olduğu ortaya çıktı. Kusurun çılgına dönmesi beklenmese de, PC'lere yönetici erişimi olabilecek dolandırıcılar, hedeflenen bir cihazda pratik olarak her şeyi yapabilir.[5]
Bu nedenle, kusurla ilgili en son haberleri takip etmeniz ve AMD'nin işlemci yamalarını içeren BIOS güncellemelerini yüklemeniz önerilir.