示意圖,與新聞事件無關。

AMD於本周二(3/20)首度公開回應了以色列資安業者CTS Labs在上周所公布的安全漏洞,證實了相關漏洞的存在,表示所有的漏洞開採都需先取得管理權限,並已著手展開修補。

CTS Labs將所發現的AMD漏洞分為MASTERKEY、FALLOUT與RYZENFALL,以及CHIMERA等類別。其中的MASTERKEY漏洞可繞過AMD平台安全處理器(PSP)的簽章檢查,讓駭客以自己的韌體更新PSP;至於FALLOUT與RYZENFALL開採的是PSP的APIs,以於PSP或系統管理模式(SMM)上執行程式;CHIMERA則是濫用AMD Promontory晶片組介面,也能在晶片組處理器上執行程式。

根據AMD的調查,CTS Labs所提報的漏洞與嵌入式安全處理器的韌體管理,以及某些Socket AM4及Socket TR4桌面平台有關,並未涉及AMD Zen架構。

AMD強調,評估後發現所有的漏洞都需要取得管理權限才能開採,但任何取得管理權限的駭客所能執行的攻擊行動早就超出CTS Labs所描述的範圍。此外,各種現代化的作業系統與企業等級的管理程序都有許多安全控制功能,能有效地預防未經授權的權限存取。

不論如何,AMD已著手修補PSP韌體,也正與設計及生產AMD Promontory晶片組的業者合作開發緩解措施,預計於幾周內就能藉由BIOS更新來部署新韌體,且相關更新將不會影響效能。


Advertisement

更多 iThome相關內容