AMD risponde a CTS-Labs: le vulnerabilità tutte risolvibili a breve senza impatto sulle prestazioni

AMD risponde a CTS-Labs: le vulnerabilità tutte risolvibili a breve senza impatto sulle prestazioni

AMD conferma la presenza delle 13 vulnerabilità evidenziate da CTS-Labs la scorsa settimana: tutte patchabili attraverso nuovi firmware e bios che giungeranno nelle prossime settimane

di pubblicata il , alle 08:33 nel canale Processori
AMDRyZenZenEPYC
 

La scorsa settimana un report rilasciato dalla società CTS-Labs, specializzata in sicurezza, ha puntato l'attenzione verso i processori AMD delle famiglie Ryzen e EPYC evidenziando la presenza di ben 13 vulnerabilità. Abbiamo trattato questo tema in questo articolo, evidenziando come AMD fosse chiamata a dare una risposta ufficiale in merito ma allo stesso tempo segnalando come la procedura seguita da questa azienda nel rendere pubbliche le vulnerabilità evidenziate fosse basata su un modo di operare molto differente da quello tipicamente utilizzato nel settore della sicurezza informatica.

AMD ha risposto ufficialmente, nella notte di ieri, a quanto individuato da CTS-Labs attraverso questo post del proprio CTO Mark Papermaster. Le analisi iniziali svolte nel corso dell'ultima settimana evidenziano come secondo AMD le problematiche evidenziate siano tutte risolvibili con patch e misure di contenimento implementabili attraverso update dei firmware e aggiornamenti del bios delle schede madri. E' rimarcato come queste vulnerabilità richiedano accesso al sistema quale amministratore, condizione che per sua natura permette di fare un po' tutto quello che si vuole con il sistema in oggetto.

amdflaws_2 big.jpg

AMD ritiene che questi aggiornamenti verranno resi disponibili nel corso delle prossime settimane e non porteranno ad impatti prestazionali. Le problematiche evidenziate non sono riferibili all'architettura Zen utilizzata nei processori Ryzen e EPYC, ma specificamente riconducibili all'embeded security processor (AMD Secure Processor) integrato nelle CPU e ai chipset sviluppati da ASMedia. Le 13 problematiche di sicurezza evidenziare da CTS-Labs, infine, non sono in alcun modo collegate a quelle Meltdown e Spectre che sono diventate pubbliche nel corso dello scorso mese di gennaio.

Di seguito quanto indicato da Mark Papermaster, CTO di AMD, nel post del blog dell'azienda.

On March 12, 2018, AMD received a communication from CTS Labs regarding research into security vulnerabilities involving some AMD products. Less than 24 hours later, the research firm went public with its findings. Security and protecting users’ data is of the utmost importance to us at AMD and we have worked rapidly to assess this security research and develop mitigation plans where needed. This is our first public update on this research, and will cover both our technical assessment of the issues as well as planned mitigation actions.

The security issues identified by the third-party researchers are not related to the AMD “Zen” CPU architecture or the Google Project Zero exploits made public Jan. 3, 2018. Instead, these issues are associated with the firmware managing the embedded security control processor in some of our products (AMD Secure Processor) and the chipset used in some socket AM4 and socket TR4 desktop platforms supporting AMD processors.

As described in more detail below, AMD has rapidly completed its assessment and is in the process of developing and staging the deployment of mitigations. It’s important to note that all the issues raised in the research require administrative access to the system, a type of access that effectively grants the user unrestricted access to the system and the right to delete, create or modify any of the folders or files on the computer, as well as change any settings. Any attacker gaining unauthorized administrative access would have a wide range of attacks at their disposal well beyond the exploits identified in this research. Further, all modern operating systems and enterprise-quality hypervisors today have many effective security controls, such as Microsoft Windows Credential Guard in the Windows environment, in place to prevent unauthorized administrative access that would need to be overcome in order to affect these security issues. A useful clarification of the difficulties associated with successfully exploiting these issues can be found in this posting from Trail of Bits, an independent security research firm who were contracted by the third-party researchers to verify their findings.

AMD fornirà ulteriori aggiornamenti sulle modalità di implementazione dei fix di sicurezza nel corso delle prossime settimane

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Maddog197621 Marzo 2018, 08:49 #1
Try again INTEL...
ilbarabba21 Marzo 2018, 08:54 #2
Originariamente inviato da: Maddog1976
Try again INTEL...


Mettici pure:
le scie chimiche
falsi allunaggi
i chip sottopelle
le twin tower che sono state fatte brillare da John Wayne
l'orso polare denutrito per colpa della Wolkswagen
i Big Pharma
le cryptomonete non sono uno schema Ponzi
e il video dell'iceberg che si spacca che gira dal 1972
appleroof21 Marzo 2018, 09:27 #3
Questo conferma che le vulnerabilità c'erano, altro che gombloddi
CrapaDiLegno21 Marzo 2018, 10:18 #4
Originariamente inviato da: appleroof
Questo conferma che le vulnerabilità c'erano, altro che gombloddi


Questo conferma che la gente parla di quello che non sa...
Vulnerabilità vuol dire nulla. Qualsiasi cosa ha vulnerabilità. Pure le centrali nucleari. Dipende dalla gravità della cosa e il metodo con cui si possono sfruttare.
Queste mi sembra fossero "vaccate" appunto per fare in modo che qualcuno scrivesse pubblicamente "AMD + vulnerabilità". Il resto del report che è stato reso pubblico individua bene quale era lo scopo dell'azione svolta.
E ci sono polli che appena sentono le parole chiave chiudono il cervello e continuano come bulldozer a dire vaccate perché "la vulnerabilità c'era".
Poveri noi.
Micene.121 Marzo 2018, 11:21 #5
Originariamente inviato da: appleroof
Questo conferma che le vulnerabilità c'erano, altro che gombloddi


le vulnerabilità e relativi fix escono in continuazione

qua la cosa anomala è che è stato spiattellato ai quattro venti delle vulnerabilità minori senza rispettare le tempistiche opportune che prevedono diversi giorni in attesa di una risposta del produttore prima di diffondere la notizia

spectre e quell'altro lhanno comunicati a intel tipo 1 anno fa e dopo svariati mesi, senza fix, solo alla fine l'hanno pubblicato

è evidente quindi il tentativo di infangare amd anche abbastanza ridicolo
Davirock21 Marzo 2018, 11:29 #6
Beh, se le patches verranno distribuite entro 3 mesi dalla divulgazione avvenuta a meno di 24 ore dalla segnalazione ad AMD... Sara chiaro a tutti che la divulgazione stessa è stata solo una trovata di marketing perché ora nel mondo informatico tutti conoscono questa cts. Mentre se si fosse aspettato del tempo tutto sarebbe passato come inesistente. Resta comunque positivo l'aver scoperto e corretto le falle... Anche se sfruttabili da admin
Pezzo21 Marzo 2018, 16:23 #7
penso che appleroof fosse sarcastico, comunque non mi aspettavo amd li prendesse seriamente xD
CrapaDiLegno21 Marzo 2018, 21:44 #8
Originariamente inviato da: Pezzo
penso che appleroof fosse sarcastico, comunque non mi aspettavo amd li prendesse seriamente xD


Non è che non avrebbe dovuto prenderli seriamente. Non poteva certo dire. "Sì, ok, le vulnerabilità ci sono ma noi ce ne sbattiamo", soprattutto in questo periodo in cui si parla di qualsiasi cosa come vulnerabilità, e si può essere accusati di avere vulnerabilità perché qualcuno entra in casa tua, ti smonta l'HDD e te lo porta via.
La risposta è stata quanto più professionale possibile: chiudiamo tutto in qualche settimana senza alcun impatto sulle prestazioni (tiè, Intel).

C'è da dire che se è vero che queste vulnerabilità ci sono da tempo, tutta la storia è anche colpa di AMD che ha lasciato il fianco scoperto proprio nel momento peggiore.
Ora finalmente le chiuderanno e si passerà alle prossime.
Già prevedo un bell'annuncio del tipo: azienda di sicurezza scopre che i PC che montano Ryzen sono vulnerabili perché se si prendono martellate i dati vengono (misteriosamente) persi nel crash delle testine dell'HDD. L'azienda dice così che il valore delle azioni AMD è nullo e che l'azienda dovrebbe chiudere i battenti immediatamente onde evitare ulteriori perdite economiche. O far montare SSD su tutti i propri PC con aggravio dei costi per l'utente.

Per quanto riguarda TettoDiMele, non credo che non fosse per niente sarcastico.
lucusta21 Marzo 2018, 22:34 #9
Originariamente inviato da: Micene.1
le vulnerabilità e relativi fix escono in continuazione

qua la cosa anomala è che è stato spiattellato ai quattro venti delle vulnerabilità minori senza rispettare le tempistiche opportune che prevedono diversi giorni in attesa di una risposta del produttore prima di diffondere la notizia

spectre e quell'altro lhanno comunicati a intel tipo 1 anno fa e dopo svariati mesi, senza fix, solo alla fine l'hanno pubblicato

è evidente quindi il tentativo di infangare amd anche abbastanza ridicolo


attento;
quello di meltdown e spectre è un caso particolare.
è stato dato più tempo per la gravità della situazione, vero.
ma perchè poi sono uscite le patch, anzi stanno uscendo ancora le patch, in un tempo così lungo?
è realmente complesso mitigare questi problemi?
no; di per se non è assolutamente complesso, perchè mitighi la vulnerabilità eliminando la speculazione predittiva e perdendo quindi un buon 40% delle prestazioni generali.
è invero complesso se non vuoi drasticamente perdere prestazioni.
le pach sono uscite dopo perchè fino all'ultimo non hanno voluto intervenire in alcun modo, per non infliggersi una penality prestazionale e quindi sul mercato senza motivo apparente.
tutti quanti insieme non sono usciti immediatamente con le patch per lo stesso identico motivo: la vulnerabilità non era nota al pubblico e se uno solo degli interessati se ne fosse uscito con una patch avrebbe distrutto il muro di omertà attorno a questo silenzio voluto....
non era insomma il momento di dire che erano vulnerabili e nessuno lo ha voluto dire o svelare uscendosente per primo, forse anche per paura (anche di fare una brutta figura).

probabilmente il fatto che the register abbia svelato anzitempo (di pochi giorni) le vulnerabilità è stato frutto dell'imboccata di chi ci avrebbe rimesso di meno (AMD?)...
pensa se queste cose fossero state dette 24 ore dopo la comunicazione agli interessati come si sarebbe svolta tutta la storia da giugno 2017 ad oggi.
a quel punto altro che vendita delle azioni del CEO.
il mercato sarebbe stato stravolto in maniera ben più marcata.

con questo non voglio dire che qualcuno ha voluto screditare AMD, ma anche l'imboccata a TheR è una mezza infamata, ed il sospetto cadrebbe proprio su AMD, che nella questione è quella che ci ha rimesso meno.
rockroll22 Marzo 2018, 04:01 #10
Originariamente inviato da: Maddog1976
Try again INTEL...


Try again CTS-Labs (ma stavollta provaci a carico di Intel, che ne vediamo delle belle).

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^