AMD risponde a CTS-Labs: le vulnerabilità tutte risolvibili a breve senza impatto sulle prestazioni
AMD conferma la presenza delle 13 vulnerabilità evidenziate da CTS-Labs la scorsa settimana: tutte patchabili attraverso nuovi firmware e bios che giungeranno nelle prossime settimane
di Paolo Corsini pubblicata il 21 Marzo 2018, alle 08:33 nel canale ProcessoriAMDRyzenZenEPYC
La scorsa settimana un report rilasciato dalla società CTS-Labs, specializzata in sicurezza, ha puntato l'attenzione verso i processori AMD delle famiglie Ryzen e EPYC evidenziando la presenza di ben 13 vulnerabilità. Abbiamo trattato questo tema in questo articolo, evidenziando come AMD fosse chiamata a dare una risposta ufficiale in merito ma allo stesso tempo segnalando come la procedura seguita da questa azienda nel rendere pubbliche le vulnerabilità evidenziate fosse basata su un modo di operare molto differente da quello tipicamente utilizzato nel settore della sicurezza informatica.
AMD ha risposto ufficialmente, nella notte di ieri, a quanto individuato da CTS-Labs attraverso questo post del proprio CTO Mark Papermaster. Le analisi iniziali svolte nel corso dell'ultima settimana evidenziano come secondo AMD le problematiche evidenziate siano tutte risolvibili con patch e misure di contenimento implementabili attraverso update dei firmware e aggiornamenti del bios delle schede madri. E' rimarcato come queste vulnerabilità richiedano accesso al sistema quale amministratore, condizione che per sua natura permette di fare un po' tutto quello che si vuole con il sistema in oggetto.
AMD ritiene che questi aggiornamenti verranno resi disponibili nel corso delle prossime settimane e non porteranno ad impatti prestazionali. Le problematiche evidenziate non sono riferibili all'architettura Zen utilizzata nei processori Ryzen e EPYC, ma specificamente riconducibili all'embeded security processor (AMD Secure Processor) integrato nelle CPU e ai chipset sviluppati da ASMedia. Le 13 problematiche di sicurezza evidenziare da CTS-Labs, infine, non sono in alcun modo collegate a quelle Meltdown e Spectre che sono diventate pubbliche nel corso dello scorso mese di gennaio.
Di seguito quanto indicato da Mark Papermaster, CTO di AMD, nel post del blog dell'azienda.
On March 12, 2018, AMD received a communication from CTS Labs regarding research into security vulnerabilities involving some AMD products. Less than 24 hours later, the research firm went public with its findings. Security and protecting users’ data is of the utmost importance to us at AMD and we have worked rapidly to assess this security research and develop mitigation plans where needed. This is our first public update on this research, and will cover both our technical assessment of the issues as well as planned mitigation actions.
The security issues identified by the third-party researchers are not related to the AMD “Zen” CPU architecture or the Google Project Zero exploits made public Jan. 3, 2018. Instead, these issues are associated with the firmware managing the embedded security control processor in some of our products (AMD Secure Processor) and the chipset used in some socket AM4 and socket TR4 desktop platforms supporting AMD processors.
As described in more detail below, AMD has rapidly completed its assessment and is in the process of developing and staging the deployment of mitigations. It’s important to note that all the issues raised in the research require administrative access to the system, a type of access that effectively grants the user unrestricted access to the system and the right to delete, create or modify any of the folders or files on the computer, as well as change any settings. Any attacker gaining unauthorized administrative access would have a wide range of attacks at their disposal well beyond the exploits identified in this research. Further, all modern operating systems and enterprise-quality hypervisors today have many effective security controls, such as Microsoft Windows Credential Guard in the Windows environment, in place to prevent unauthorized administrative access that would need to be overcome in order to affect these security issues. A useful clarification of the difficulties associated with successfully exploiting these issues can be found in this posting from Trail of Bits, an independent security research firm who were contracted by the third-party researchers to verify their findings.
AMD fornirà ulteriori aggiornamenti sulle modalità di implementazione dei fix di sicurezza nel corso delle prossime settimane
12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMettici pure:
le scie chimiche
falsi allunaggi
i chip sottopelle
le twin tower che sono state fatte brillare da John Wayne
l'orso polare denutrito per colpa della Wolkswagen
i Big Pharma
le cryptomonete non sono uno schema Ponzi
e il video dell'iceberg che si spacca che gira dal 1972
Questo conferma che la gente parla di quello che non sa...
Vulnerabilità vuol dire nulla. Qualsiasi cosa ha vulnerabilità. Pure le centrali nucleari. Dipende dalla gravità della cosa e il metodo con cui si possono sfruttare.
Queste mi sembra fossero "vaccate" appunto per fare in modo che qualcuno scrivesse pubblicamente "AMD + vulnerabilità". Il resto del report che è stato reso pubblico individua bene quale era lo scopo dell'azione svolta.
E ci sono polli che appena sentono le parole chiave chiudono il cervello e continuano come bulldozer a dire vaccate perché "la vulnerabilità c'era".
Poveri noi.
le vulnerabilità e relativi fix escono in continuazione
qua la cosa anomala è che è stato spiattellato ai quattro venti delle vulnerabilità minori senza rispettare le tempistiche opportune che prevedono diversi giorni in attesa di una risposta del produttore prima di diffondere la notizia
spectre e quell'altro lhanno comunicati a intel tipo 1 anno fa e dopo svariati mesi, senza fix, solo alla fine l'hanno pubblicato
è evidente quindi il tentativo di infangare amd anche abbastanza ridicolo
Non è che non avrebbe dovuto prenderli seriamente. Non poteva certo dire. "Sì, ok, le vulnerabilità ci sono ma noi ce ne sbattiamo", soprattutto in questo periodo in cui si parla di qualsiasi cosa come vulnerabilità, e si può essere accusati di avere vulnerabilità perché qualcuno entra in casa tua, ti smonta l'HDD e te lo porta via.
La risposta è stata quanto più professionale possibile: chiudiamo tutto in qualche settimana senza alcun impatto sulle prestazioni (tiè, Intel).
C'è da dire che se è vero che queste vulnerabilità ci sono da tempo, tutta la storia è anche colpa di AMD che ha lasciato il fianco scoperto proprio nel momento peggiore.
Ora finalmente le chiuderanno e si passerà alle prossime.
Già prevedo un bell'annuncio del tipo: azienda di sicurezza scopre che i PC che montano Ryzen sono vulnerabili perché se si prendono martellate i dati vengono (misteriosamente) persi nel crash delle testine dell'HDD. L'azienda dice così che il valore delle azioni AMD è nullo e che l'azienda dovrebbe chiudere i battenti immediatamente onde evitare ulteriori perdite economiche. O far montare SSD su tutti i propri PC con aggravio dei costi per l'utente.
Per quanto riguarda TettoDiMele, non credo che non fosse per niente sarcastico.
qua la cosa anomala è che è stato spiattellato ai quattro venti delle vulnerabilità minori senza rispettare le tempistiche opportune che prevedono diversi giorni in attesa di una risposta del produttore prima di diffondere la notizia
spectre e quell'altro lhanno comunicati a intel tipo 1 anno fa e dopo svariati mesi, senza fix, solo alla fine l'hanno pubblicato
è evidente quindi il tentativo di infangare amd anche abbastanza ridicolo
attento;
quello di meltdown e spectre è un caso particolare.
è stato dato più tempo per la gravità della situazione, vero.
ma perchè poi sono uscite le patch, anzi stanno uscendo ancora le patch, in un tempo così lungo?
è realmente complesso mitigare questi problemi?
no; di per se non è assolutamente complesso, perchè mitighi la vulnerabilità eliminando la speculazione predittiva e perdendo quindi un buon 40% delle prestazioni generali.
è invero complesso se non vuoi drasticamente perdere prestazioni.
le pach sono uscite dopo perchè fino all'ultimo non hanno voluto intervenire in alcun modo, per non infliggersi una penality prestazionale e quindi sul mercato senza motivo apparente.
tutti quanti insieme non sono usciti immediatamente con le patch per lo stesso identico motivo: la vulnerabilità non era nota al pubblico e se uno solo degli interessati se ne fosse uscito con una patch avrebbe distrutto il muro di omertà attorno a questo silenzio voluto....
non era insomma il momento di dire che erano vulnerabili e nessuno lo ha voluto dire o svelare uscendosente per primo, forse anche per paura (anche di fare una brutta figura).
probabilmente il fatto che the register abbia svelato anzitempo (di pochi giorni) le vulnerabilità è stato frutto dell'imboccata di chi ci avrebbe rimesso di meno (AMD?)...
pensa se queste cose fossero state dette 24 ore dopo la comunicazione agli interessati come si sarebbe svolta tutta la storia da giugno 2017 ad oggi.
a quel punto altro che vendita delle azioni del CEO.
il mercato sarebbe stato stravolto in maniera ben più marcata.
con questo non voglio dire che qualcuno ha voluto screditare AMD, ma anche l'imboccata a TheR è una mezza infamata, ed il sospetto cadrebbe proprio su AMD, che nella questione è quella che ci ha rimesso meno.
Try again CTS-Labs (ma stavollta provaci a carico di Intel, che ne vediamo delle belle).
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".