SIKKERHET

AMD bekrefter sårbarheter til tross for skepsis fra mange

Er nå i ferd med å fikse sikkerhetshullene, som var mindre alvorlige enn fryktet.

AMD Ryzen Pro
AMD Ryzen Pro Foto: AMD
21. mars 2018 - 07:48

Nylig meldte vi at det israelske IT-sikkerhetsselskapet CTS Labs har funnet 13 kritiske sårbarheter, inkludert bakdører, i AMDs Ryzen- og Epyc-prosessorer, et funn mange viste seg å være skeptiske til. Nå har AMD imidlertid selv kommet med et svar etter å ha etterforsket saken, og det viser seg at funnene var verdt å ta på alvor, selv om de var mindre alvorlig enn ventet.

AMD bekrefter at sikkerhetssvakhetene som CTS Labs rapporterte om er reelle, og at de nå er i ferd med å fikse problemet. Fiksene kommer i form av oppdatert fastvare som skal slippes i løpet av de kommende ukene.

Krever administratortilgang

Ifølge AMD kan sikkerhetshullene, døpt Ryzenfall, Fallout, Masterkey og Chimera, brukes av uvedkommende til å omgå sikkerhetsfunksjoner på plattformene, lese og skrive på beskyttede minneområder og installere ondsinnet programvare som er vanskelig å oppdage. 

Prosessorprodusenten understreker imidlertid at samtlige av sikkerhetshullene krever administrator-tilgang for å kunne utnyttes, som gjør trusselen noe mindre alvorlig enn først antatt. Som AMD peker på finnes det allerede mange sikkerhetsløsninger som hindrer uautorisert administratortilgang, og om man skulle skaffe seg slik tilgang vil man uansett kunne utføre en lang rekke angrep utover det som sikkerhetshullene legger til rette for.

I tillegg opplyser AMD at problemene ikke gjelder Zen-arkitekturen, som omfatter de nevnte Ryzen- og Epyc-prosessorene. Derimot er sikkerhetshullene knyttet til fastvaren som styrer den integrerte sikkerhetskontrollprosessoren i noen av selskapets produkter, samt noen brikkesett av typen AM4 og TR4, som altså ikke omfatter selve prosessorene.

Selskapet understreker videre at problemene ikke har noe å gjøre med Spectre-sårbarhetene som ble rapportert om for en stund siden.

Nå skal Intel tette Spectre-hullene i selve maskinvaren »

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.