AMD承认处理器存在漏洞但可以通过软件彻底修复
早些时候以色列初创安全公司在没有遵守安全行业既有规范下直接向外界披露AMD公司处理器存在安全漏洞。
该公司仅提前1天向AMD公司通报漏洞详情后将开始披露漏洞,按安全行业规范起码预留时间要在90 天左右。
同时该公司多个不寻常的举动引起多数媒体们的怀疑,很多科技媒体认为该公司似乎是在故意给AMD泼脏水。
不过现在尘埃落定:AMD 公司已经承认漏洞的存在,但是这些漏洞并不是AMD ZEN架构本身存在安全问题。
扑朔迷离的安全漏洞:
在原先报告中以色列安全公司声称在 AMD ZEN 架构系列处理器中发现的问题均为危害程度极高的安全漏洞。
在引起恐慌后AMD公司证明这些该安全公司的报告过于夸张,因为这些漏洞多数是存在于安全控制芯片中的。
这些安全控制芯片由华硕旗下的祥硕公司负责设计和生产,同时该芯片本身独立于AMD处理器而不是共同体。
因此AMDZEN架构本身并不存在什么严重的问题,安全控制芯片的漏洞如果想要利用的话必备的条件很严格。
可以通过软件彻底修复:
以色列安全公司公布的报告让很多人想起了近期的熔断和幽灵漏洞, 这是芯片设计层面的问题无法彻底修复。
因此很多人联想到AMD处理器这些漏洞是否也是无法彻底修复,答案是否定的:漏洞可以通过软件彻底修复。
AMD目前正与祥硕进行合作以便尽快发布新版固件,通过 BIOS 固件更新即可彻底修复安全芯片的安全漏洞。
漏洞利用条件比较苛刻:
虽然漏洞是存在的并且确实存在较严重的危害, 但若攻击者想要利用这些漏洞展开攻击那可不是简单的事情。
其中最重要的就是想要利用和实施攻击都必须有安全的管理器权限, 如何成功获得管理员权限同样并不简单。
因此整体来说这次的漏洞危机有比较夸张的成分, 同时以色列安全公司的做法也有违安全行业既有流程规范。
联想到该公司为披露该漏洞提前注册单独域名建设网站, 说不定背后真的是有竞争对手在操纵这次漏洞事件。