AMD risponde a CTS-Labs: le vulnerabilità tutte risolvibili a breve senza impatto sulle prestazioni

AMD risponde a CTS-Labs: le vulnerabilità tutte risolvibili a breve senza impatto sulle prestazioni

AMD conferma la presenza delle 13 vulnerabilità evidenziate da CTS-Labs la scorsa settimana: tutte patchabili attraverso nuovi firmware e bios che giungeranno nelle prossime settimane

di pubblicata il , alle 08:33 nel canale Processori
AMDRyZenZenEPYC
 

La scorsa settimana un report rilasciato dalla società CTS-Labs, specializzata in sicurezza, ha puntato l'attenzione verso i processori AMD delle famiglie Ryzen e EPYC evidenziando la presenza di ben 13 vulnerabilità. Abbiamo trattato questo tema in questo articolo, evidenziando come AMD fosse chiamata a dare una risposta ufficiale in merito ma allo stesso tempo segnalando come la procedura seguita da questa azienda nel rendere pubbliche le vulnerabilità evidenziate fosse basata su un modo di operare molto differente da quello tipicamente utilizzato nel settore della sicurezza informatica.

AMD ha risposto ufficialmente, nella notte di ieri, a quanto individuato da CTS-Labs attraverso questo post del proprio CTO Mark Papermaster. Le analisi iniziali svolte nel corso dell'ultima settimana evidenziano come secondo AMD le problematiche evidenziate siano tutte risolvibili con patch e misure di contenimento implementabili attraverso update dei firmware e aggiornamenti del bios delle schede madri. E' rimarcato come queste vulnerabilità richiedano accesso al sistema quale amministratore, condizione che per sua natura permette di fare un po' tutto quello che si vuole con il sistema in oggetto.

amdflaws_2 big.jpg

AMD ritiene che questi aggiornamenti verranno resi disponibili nel corso delle prossime settimane e non porteranno ad impatti prestazionali. Le problematiche evidenziate non sono riferibili all'architettura Zen utilizzata nei processori Ryzen e EPYC, ma specificamente riconducibili all'embeded security processor (AMD Secure Processor) integrato nelle CPU e ai chipset sviluppati da ASMedia. Le 13 problematiche di sicurezza evidenziare da CTS-Labs, infine, non sono in alcun modo collegate a quelle Meltdown e Spectre che sono diventate pubbliche nel corso dello scorso mese di gennaio.

Di seguito quanto indicato da Mark Papermaster, CTO di AMD, nel post del blog dell'azienda.

On March 12, 2018, AMD received a communication from CTS Labs regarding research into security vulnerabilities involving some AMD products. Less than 24 hours later, the research firm went public with its findings. Security and protecting users’ data is of the utmost importance to us at AMD and we have worked rapidly to assess this security research and develop mitigation plans where needed. This is our first public update on this research, and will cover both our technical assessment of the issues as well as planned mitigation actions.

The security issues identified by the third-party researchers are not related to the AMD “Zen” CPU architecture or the Google Project Zero exploits made public Jan. 3, 2018. Instead, these issues are associated with the firmware managing the embedded security control processor in some of our products (AMD Secure Processor) and the chipset used in some socket AM4 and socket TR4 desktop platforms supporting AMD processors.

As described in more detail below, AMD has rapidly completed its assessment and is in the process of developing and staging the deployment of mitigations. It’s important to note that all the issues raised in the research require administrative access to the system, a type of access that effectively grants the user unrestricted access to the system and the right to delete, create or modify any of the folders or files on the computer, as well as change any settings. Any attacker gaining unauthorized administrative access would have a wide range of attacks at their disposal well beyond the exploits identified in this research. Further, all modern operating systems and enterprise-quality hypervisors today have many effective security controls, such as Microsoft Windows Credential Guard in the Windows environment, in place to prevent unauthorized administrative access that would need to be overcome in order to affect these security issues. A useful clarification of the difficulties associated with successfully exploiting these issues can be found in this posting from Trail of Bits, an independent security research firm who were contracted by the third-party researchers to verify their findings.

AMD fornirà ulteriori aggiornamenti sulle modalità di implementazione dei fix di sicurezza nel corso delle prossime settimane

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

14 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Maddog197621 Marzo 2018, 08:49 #1
Try again INTEL...
ilbarabba21 Marzo 2018, 08:54 #2
Originariamente inviato da: Maddog1976
Try again INTEL...


Mettici pure:
le scie chimiche
falsi allunaggi
i chip sottopelle
le twin tower che sono state fatte brillare da John Wayne
l'orso polare denutrito per colpa della Wolkswagen
i Big Pharma
le cryptomonete non sono uno schema Ponzi
e il video dell'iceberg che si spacca che gira dal 1972
appleroof21 Marzo 2018, 09:27 #3
Questo conferma che le vulnerabilità c'erano, altro che gombloddi
CrapaDiLegno21 Marzo 2018, 10:18 #4
Originariamente inviato da: appleroof
Questo conferma che le vulnerabilità c'erano, altro che gombloddi


Questo conferma che la gente parla di quello che non sa...
Vulnerabilità vuol dire nulla. Qualsiasi cosa ha vulnerabilità. Pure le centrali nucleari. Dipende dalla gravità della cosa e il metodo con cui si possono sfruttare.
Queste mi sembra fossero "vaccate" appunto per fare in modo che qualcuno scrivesse pubblicamente "AMD + vulnerabilità". Il resto del report che è stato reso pubblico individua bene quale era lo scopo dell'azione svolta.
E ci sono polli che appena sentono le parole chiave chiudono il cervello e continuano come bulldozer a dire vaccate perché "la vulnerabilità c'era".
Poveri noi.
UltimateBou21 Marzo 2018, 10:26 #5
vediamo quanto ancora si deve parlare di questa buffonata....

contento per amd, molti nemici molto onore
Micene.121 Marzo 2018, 11:21 #6
Originariamente inviato da: appleroof
Questo conferma che le vulnerabilità c'erano, altro che gombloddi


le vulnerabilità e relativi fix escono in continuazione

qua la cosa anomala è che è stato spiattellato ai quattro venti delle vulnerabilità minori senza rispettare le tempistiche opportune che prevedono diversi giorni in attesa di una risposta del produttore prima di diffondere la notizia

spectre e quell'altro lhanno comunicati a intel tipo 1 anno fa e dopo svariati mesi, senza fix, solo alla fine l'hanno pubblicato

è evidente quindi il tentativo di infangare amd anche abbastanza ridicolo
Davirock21 Marzo 2018, 11:29 #7
Beh, se le patches verranno distribuite entro 3 mesi dalla divulgazione avvenuta a meno di 24 ore dalla segnalazione ad AMD... Sara chiaro a tutti che la divulgazione stessa è stata solo una trovata di marketing perché ora nel mondo informatico tutti conoscono questa cts. Mentre se si fosse aspettato del tempo tutto sarebbe passato come inesistente. Resta comunque positivo l'aver scoperto e corretto le falle... Anche se sfruttabili da admin
Veradun21 Marzo 2018, 12:01 #8
Originariamente inviato da: appleroof
Questo conferma che le vulnerabilità c'erano, altro che gombloddi


Non sei stato attento.

In molti (me compreso) hanno ipotizzato che queste "vulnerabilità" ci fossero, ma quando pubblichi una vulnerabilità lo fai con un CVE (qui niente) e lo fai informando prima di tutto chi ha la vulnerabilità in modo che possa risolverla [B][U]prima[/U][/B] che sia pubblica e che malintenzionati siano "imboccati" sul dove cercarne. Il periodo minimo che solitamente si aspetta a renderla pubblica è 90 giorni. Per Meltdown e Spectre si sono aspettati 6 mesi, per esempio.

Questi due aspetti avevano già fatto suonare l'allarme, così come le registrazioni private dei domini usati, gli statement sul coinvolgimento economico, il fatto che una delle tre persone che compongono l'azienda in questione sia un investitore su hedge funds e che "casualmente" un noto manipolatore di stock e investitore su short positions avesse un documento di 25 pagine pronto sull'argomento 2 ore dopo la pubblicazione del sito. E i contatti gestiti da una società di marketing irraggiungibile è la ciliegina sulla torta della sospetta inusualità.

Il tutto condito dal fatto che la presentazione è fatta in puro stile marketing, con toni enormemente allarmistici per "vulnerabilità" che richiedono diritti da superuser (ovvero sistemi già compromessi), e dichiarazioni sull'impossibilità di fixarle ("settimane, non mesi" ) a cui nessuno ha creduto per più di mezzo secondo (ovviamente nessuno che abbia un minimo di conoscenze in materia, e lo scopo non era allarmare questi, ma tutti gli altri), oltre al FUD-nome amdflaws quando poi quelle vulnerabilità riguardano la trustzone arm e i chip ASmedia (e per aumentare il ridicolo il sito era stato pubblicato http, non https, che fa ridere per chi si presenta come esperto di sicurezza).

Quando qualche giorno dopo Kanter e Cutress hanno intervistato telefonicamente i personaggi in questione è apparso chiaro a tutti che non avevano idea di cosa parlassero, salvo poi fuggire dalla telefonata quando le domande si facevano "pericolose" con un "scusa ma devo andare a Judo".

Quindi, come previsto, queste vulnerabilità esistono, sono di impatto ridicolo e possono essere e saranno fixate rapidamente e tutta la questione è stata montata per fare FUD su AMD attraverso i suoi prodotti di punta.

Chi sia il mandante è aperto alle ipotesi più disparate. Personalmente ritengo che i numerosi indizi puntino il dito su Viceroy o chi per essi alla ricerca di un facile guadagno sullo short del titolo.
Pezzo21 Marzo 2018, 16:23 #9
penso che appleroof fosse sarcastico, comunque non mi aspettavo amd li prendesse seriamente xD
CrapaDiLegno21 Marzo 2018, 21:44 #10
Originariamente inviato da: Pezzo
penso che appleroof fosse sarcastico, comunque non mi aspettavo amd li prendesse seriamente xD


Non è che non avrebbe dovuto prenderli seriamente. Non poteva certo dire. "Sì, ok, le vulnerabilità ci sono ma noi ce ne sbattiamo", soprattutto in questo periodo in cui si parla di qualsiasi cosa come vulnerabilità, e si può essere accusati di avere vulnerabilità perché qualcuno entra in casa tua, ti smonta l'HDD e te lo porta via.
La risposta è stata quanto più professionale possibile: chiudiamo tutto in qualche settimana senza alcun impatto sulle prestazioni (tiè, Intel).

C'è da dire che se è vero che queste vulnerabilità ci sono da tempo, tutta la storia è anche colpa di AMD che ha lasciato il fianco scoperto proprio nel momento peggiore.
Ora finalmente le chiuderanno e si passerà alle prossime.
Già prevedo un bell'annuncio del tipo: azienda di sicurezza scopre che i PC che montano Ryzen sono vulnerabili perché se si prendono martellate i dati vengono (misteriosamente) persi nel crash delle testine dell'HDD. L'azienda dice così che il valore delle azioni AMD è nullo e che l'azienda dovrebbe chiudere i battenti immediatamente onde evitare ulteriori perdite economiche. O far montare SSD su tutti i propri PC con aggravio dei costi per l'utente.

Per quanto riguarda TettoDiMele, non credo che non fosse per niente sarcastico.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^