不亞于熔斷、幽靈？AMD官方回應(yīng)Zen架構(gòu)存在四組12個(gè)安全漏洞

　　3月14日消息 日前有外媒援引來自以色列安全機(jī)構(gòu)CTS-Labs的爆料稱，在AMD Zen架構(gòu)處理器存在四組12個(gè)安全漏洞。值得一提的是，這些危害不亞于熔斷、幽靈的安全漏洞涉及Ryzen、EPYC的全線產(chǎn)品！這究竟是怎么回事呢？

　　對(duì)此，AMD第一時(shí)間發(fā)表官方聲明稱，“我們剛剛收到一家名為CTS-Labs的公司的報(bào)告，聲稱我們的特定處理器產(chǎn)品可能存在安全漏洞。我們正在積極進(jìn)行調(diào)查和分析。這家公司AMD從未聽聞，而且不同尋常的是，這家安全機(jī)構(gòu)直接將自己的發(fā)現(xiàn)公布給了媒體，卻沒有給AMD合理的時(shí)間調(diào)查和解決問題。安全是AMD的首要職責(zé)，我們持續(xù)努力確保我們客戶的安全，應(yīng)對(duì)新的安全威脅。如有后續(xù)進(jìn)展我們會(huì)第一時(shí)間公告。”

　　可以看出，由于事發(fā)突然，特別是這些漏洞發(fā)現(xiàn)并沒有按照行業(yè)慣例提前通知并給予90天的靜默期，AMD被打了個(gè)措手不及，目前還無法完全證實(shí)這些漏洞的真?zhèn)巍?/p>

　　即便是真的存在漏洞，這件事也顯得很詭異。

　　國(guó)外權(quán)威硬件媒體AnandTech在報(bào)道此事的時(shí)候，也首先提出了一系列質(zhì)疑：

　　1、CTS-Labs只給了AMD 24小時(shí)的時(shí)間知曉問題所在，而行業(yè)標(biāo)準(zhǔn)都是在漏洞發(fā)現(xiàn)后，提前聯(lián)系涉事公司，并且要等90天才會(huì)對(duì)外公開，以便修復(fù)解決，而且初期不會(huì)披露漏洞技術(shù)細(xì)節(jié)。

　　2、在告知AMD和公開之前，CTS-Labs首先聯(lián)系了一些媒體，向他們通報(bào)情況。

　　3、CTS-Labs 2017年才剛剛成立，資質(zhì)尚淺，這只是他們的第一份公開安全報(bào)告，也未公開自己的任何客戶。

　　4、CTS-Labs并沒有自己的官方網(wǎng)站，公布此次漏洞卻專門建立了一個(gè)名為AMDFlaws.com的網(wǎng)站，還是2月22日剛剛注冊(cè)的。

　　5、從網(wǎng)站布局看，很像是已經(jīng)提前準(zhǔn)備了很久，并未考慮AMD的回應(yīng)。

　　6、CTS-Labs還雇傭了一個(gè)公關(guān)公司來回應(yīng)業(yè)界和媒體聯(lián)系，這并非正常安全公司的風(fēng)格。

　　AnandTech就這些疑問向CTS-Labs發(fā)去郵件查詢，尚未得到任何回應(yīng)。

　　很多人可能會(huì)和此事將近來鬧得沸沸揚(yáng)揚(yáng)的Meltdown熔斷、Spectre幽靈漏洞相比，但后者是Google等權(quán)威安全團(tuán)體早就確認(rèn)的，而且第一時(shí)間和Intel、AMD、ARM、微軟、亞馬遜等等業(yè)內(nèi)相關(guān)企業(yè)都做了聯(lián)系溝通，共同解決，最后媒體踢爆屬于意外曝料，而且當(dāng)時(shí)距離解禁期已經(jīng)很近了。

　　據(jù)了解，這次曝光的漏洞，都是涉及AMD Zen處理器內(nèi)部的安全協(xié)處理器（ARM A5架構(gòu)模塊）和芯片組（祥碩給AMD外包做的），和Zen微架構(gòu)本身并無任何關(guān)系，并非核心級(jí)別問題。

　　此外，還有報(bào)道稱，攻擊者如果要利用這些漏洞，都必須提前獲取管理員權(quán)限，然后才能通過網(wǎng)絡(luò)安裝惡意軟件，危害程度并不是最高的，屬于二等漏洞。

　　眾所周知，AMD的處理器產(chǎn)品在過去一年中可謂是氣勢(shì)如虹，不僅在各個(gè)領(lǐng)域中取得了不小的突破，還憑借出色的性能得到了業(yè)界和消費(fèi)者的普遍認(rèn)可。然而在第二代Ryzen CPU即將發(fā)布的關(guān)鍵時(shí)刻，卻出現(xiàn)了一起如此詭異的“負(fù)面事件”，這不得不令人懷疑是否有什么不為人知的故事呢？此事的后續(xù)進(jìn)展，我們也將繼續(xù)關(guān)注。