Ερευνητές ασφαλείας της Ισραηλινής εταιρείας CTS Labs
ανακοίνωσαν την περασμένη εβδομάδα πως ανακάλυψαν 13 κρίσιμες ευπάθειες
στην αρχιτεκτονική των επεξεργαστών Zen της AMD που
επηρεάζουν τις οικογένειες επεξεργαστών Ryzen και EPYC. Από τη CTS Labs προχώρησαν στην άμεση δημοσίευση των ευρημάτων τους, κάτι που είναι αντίθετο με την πρακτική της αγοράς, αφού οι ερευνητές που βρίσκουν κενά ασφαλείας ενημερώνουν τις εμπλεκόμενες εταιρείες τουλάχιστον 90 ημέρες πριν τα δημοσιοποιήσουν, για να ετοιμαστούν τα σχετικά security patches.
Σήμερα, από την AMD ανακοίνωσαν τα ευρήματά τους, σημειώνοντας πως κινήθηκαν αστραπιαία για να αξιολογήσουν το υλικό που έλαβαν. Από την εταιρεία σημειώνουν πως τα προβλήματα ασφαλείας που εντοπίστηκαν δεν σχετίζονται με την αρχιτεκτονική των επεξεργαστών "Zen" της AMD. Αντίθετα, συνδέονται με το υλικολογισμικό (firmware) που διαχειρίζεται τον ενσωματωμένο επεξεργαστή ελέγχου ασφαλείας σε ορισμένα από τα προϊόντα της (AMD Secure Processor) και το chipset που χρησιμοποιείται σε μερικές πλατφόρμες με socket AM4 και TR4.
Επίσης, σημειώνουν πως βρίσκονται σε διαδικασία ανάπτυξης των κατάλληλων διορθώσεων, ενώ τονίζουν πως όλα τα ζητήματα ασφαλείας που τίθενται, για αναπτυχθούν απαιτούν δικαιώματα διαχειριστή στα συστήματα. Όποιος επιτιθέμενος αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα θα μπορέσει να αναπτύξει ένα ευρύ φάσμα επιθέσεων πολύ πριν εκμεταλλευτεί τις συγκεκριμένες ευπάθειες. Επιπλέον, από την εταιρεία αναφέρουν πως όλα τα σύγχρονα λειτουργικά συστήματα διαθέτουν αποτελεσματικούς ελέγχους ασφαλείας (όπως το Microsoft Windows Credential Guard) για να αποτρέψουν τη μη εξουσιοδοτημένη πρόσβαση χρηστών, οι οποίοι θα πρέπει να παρακαμφθούν προκειμένου να γίνουν εκμεταλλεύσιμα τα ζητήματα ασφάλειας που δημοσιεύτηκαν.
Στον πίνακα που ακολουθεί βρίσκονται ταξινομημένες οι ευπάθειες, οι πιθανές επιπτώσεις στα συστήματα και οι ενέργειες στις οποίες προχωρά η AMD για να λύσει τα προβλήματα.
πηγή: gr.pcmag.com
επηρεάζουν τις οικογένειες επεξεργαστών Ryzen και EPYC. Από τη CTS Labs προχώρησαν στην άμεση δημοσίευση των ευρημάτων τους, κάτι που είναι αντίθετο με την πρακτική της αγοράς, αφού οι ερευνητές που βρίσκουν κενά ασφαλείας ενημερώνουν τις εμπλεκόμενες εταιρείες τουλάχιστον 90 ημέρες πριν τα δημοσιοποιήσουν, για να ετοιμαστούν τα σχετικά security patches.
Σήμερα, από την AMD ανακοίνωσαν τα ευρήματά τους, σημειώνοντας πως κινήθηκαν αστραπιαία για να αξιολογήσουν το υλικό που έλαβαν. Από την εταιρεία σημειώνουν πως τα προβλήματα ασφαλείας που εντοπίστηκαν δεν σχετίζονται με την αρχιτεκτονική των επεξεργαστών "Zen" της AMD. Αντίθετα, συνδέονται με το υλικολογισμικό (firmware) που διαχειρίζεται τον ενσωματωμένο επεξεργαστή ελέγχου ασφαλείας σε ορισμένα από τα προϊόντα της (AMD Secure Processor) και το chipset που χρησιμοποιείται σε μερικές πλατφόρμες με socket AM4 και TR4.
Επίσης, σημειώνουν πως βρίσκονται σε διαδικασία ανάπτυξης των κατάλληλων διορθώσεων, ενώ τονίζουν πως όλα τα ζητήματα ασφαλείας που τίθενται, για αναπτυχθούν απαιτούν δικαιώματα διαχειριστή στα συστήματα. Όποιος επιτιθέμενος αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα θα μπορέσει να αναπτύξει ένα ευρύ φάσμα επιθέσεων πολύ πριν εκμεταλλευτεί τις συγκεκριμένες ευπάθειες. Επιπλέον, από την εταιρεία αναφέρουν πως όλα τα σύγχρονα λειτουργικά συστήματα διαθέτουν αποτελεσματικούς ελέγχους ασφαλείας (όπως το Microsoft Windows Credential Guard) για να αποτρέψουν τη μη εξουσιοδοτημένη πρόσβαση χρηστών, οι οποίοι θα πρέπει να παρακαμφθούν προκειμένου να γίνουν εκμεταλλεύσιμα τα ζητήματα ασφάλειας που δημοσιεύτηκαν.
Στον πίνακα που ακολουθεί βρίσκονται ταξινομημένες οι ευπάθειες, οι πιθανές επιπτώσεις στα συστήματα και οι ενέργειες στις οποίες προχωρά η AMD για να λύσει τα προβλήματα.
πηγή: gr.pcmag.com
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου