伊莉討論區

標題: 〈以色列資安業者公布13個晶片安全漏洞,讓AMD猝不及防〉〈iThome〉〈2018-03-14〉 [打印本頁]
作者: iiifgh    時間: 2018-3-14 06:03 PM     標題: 〈以色列資安業者公布13個晶片安全漏洞,讓AMD猝不及防〉〈iThome〉〈2018-03-14〉

本帖最後由 iiifgh 於 2018-3-14 06:06 PM 編輯

以色列資安業者公布13個晶片安全漏洞,讓AMD猝不及防
以色列的資安業者CTS Labs發現在AMD EPYC伺服器、Ryzen工作站、 Ryzen Pro及Ryzen Mobile等系列處理器上有13個漏洞,由於只早了一天通知AMD,讓AMD措手不及。
iThome Online-文/陳曉莉 | 2018-03-14發表

[attach]122598386[/attach]
示意圖,與新聞事件無關。

來自以色列的資安業者CTS Labs在本周二(3/13)對外揭露了13個涉及AMD伺服器、工作站與筆電系列處理器的安全漏洞,而且只早了一天通知AMD,措手不及的AMD迄今仍未發布公開聲明。

CTS Labs在AMD處理器漏洞白皮書中指出,該實驗於半年前開始研究基於AMD Zen架構的處理器安全性,涵蓋EPYC伺服器、Ryzen工作站、 Ryzen Pro及Ryzen Mobile等系列,並發現了13個安全漏洞。

根據CTS Labs的研究,肩負AMD處理器安全的AMD Secure Processor含有許多重大漏洞,讓駭客得以將惡意程式永久地安裝於AMD Secure Processor中,以用來竊取網路憑證,並執行間諜行動。且在AMD專為雲端供應商量身打造的Secure Encrypted Virtualization安全功能亦會因駭客於EPYC的AMD Secure Processor上執行惡意程式而被擊潰。

AMD Secure Processor為AMD在2013年推出的安全子系統,它可建立、監控及維護安全環境,負責管理開機程序、執行各種安全機制,以及監控系統上的任何可疑行動,被應用在Ryzen與EPYC處理器、Vega GPUs、APUs,以及行動及嵌入式處理器中。

此外,由AMD委由台灣祥碩科技(ASMedia)代工的Ryzen晶片組則含有可被開採的後門,將允許駭客注入惡意程式。此一晶片組的作用在於連結主機板上的Ryzen處理器與Wi-Fi、網路卡等硬體裝置,可望成為駭客的理想攻擊對象。

CTS Labs表示,這些藏匿在AMD Secure Processor中的安全漏洞將讓惡意程式就算是在重開機或重新安裝作業系統之後依舊存在,且大多數的安全解決方案都無法察覺惡意程式的存在。

Trail of Bits執行長暨安全研究人員Dan Guido已經證實了這些漏洞的存在,還說CTS Labs的攻擊程式是有效的。

至於AMD則在CTS Labs公布此一報告的前一天才收到通知,雖尚未發表公開聲明,但面對媒體詢問時直接表達了對CTS Labs的不滿。AMD表示,他們根本沒聽過CTS Labs,對於一家資安業者而言,在未給予製造商充份的調查與解決時間就揭露研究報告很不尋常,AMD正在調查與分析相關漏洞。

一般而言,資安研究人員通常會秉持著責任揭露的精神,率先揭露漏洞予製造商,90天之後再公諸於世,然而,根據媒體報導,CTS Labs在通知AMD之後的不到24小時就對外發表。

CTS Labs不只通知了AMD,也知會了微軟、HP、Dell、特定的資安業者,以及相關的美國主管機關。



AMD晶片存在嚴重漏洞 駭客可植入代碼不被發現
新頭殼newtalk | 朱泓任 綜合報導
發布 2018.03.14 | 12:23

[attach]122598375[/attach]
AMD晶片被發現重大漏洞,將可能導致眾多使用者暴露在網路攻擊之下。(圖為示意圖)   圖:翻攝自Flickr /Fritzchens Fritz開放權限

以色列安全公司 CTS Labs 近日在超微半導體(Advanced Micro Devices , AMD)所製造的晶片中發現安全性漏洞,指出有多個重大安全性弱點和可讓人趁虛而入的製造商後門,這些都能讓駭客輕易控制使用者的電腦和網路。

根據外媒報導,CTS對於AMD晶片列出13個重大缺陷,並指出將會增加各大公司或組織暴露在網路攻擊下的風險,其中包含超微處理企業、工業和航太業,甚至消費性產品應用的新晶片都可能受到影響。

在長達20多頁的報告中顯示,該漏洞可以讓駭客在安全處理器內永久安裝惡意代碼,並且躲過各種防護軟體的掃描,因此創造出駭客的理想攻擊目標。

資安防護公司enSilo分析表示:「AMD晶片此次發現的漏洞,可能比日前英特爾所發現的 Meltdown 與 Spectre 兩大漏洞還嚴重。」



以色列小公司發現AMD晶片漏洞
2018-03-14 09:25經濟日報 記者易起宇╱即時報導

[attach]122598389[/attach]
以色列網安公司CTS發現AMD晶片的安全漏洞。路透

一家只有六名員工的以色列網路安全研究公司昨(13)日表示,在超微(AMD)的微型處理器中發現多處使其容易遭駭的漏洞。消息傳出後,AMD股價振盪收漲。

路透報導,以色列公司CTS實驗室的報告指出AMD晶片瑕疵。AMD股價周二在11.1美元至12.04美元間振盪,收盤小漲1%至11.64美元。

AMD表示,對這分報告感到意外。「AMD之前不曾聽聞這家研究公司,而且在公布報告前,該公司並未提供企業合理的時間調查和處理其發現,這種做法很不尋常。」

美國網路安全公司Trail of Bits執行長Dan Guido表示,他們已驗證過這些漏洞,AMD在程式碼和處理器上確實有安全問題,駭客能夠利用這些弱點操控或竊取保密資料。



以色列安全公司:AMD芯片存在13個安全漏洞
digital.sina-2018年03月14日07:33

[attach]122598385[/attach]

  新浪科技訊 北京時間3月14日淩晨消息,本週二,一家以色列安全公司在其發佈的一份白皮書中指出,計算機芯片製造商AMD在售的芯片存在13個安全漏洞。

  在一份聲明中,AMD稱其正在調查這份由“名為CTS Labs”發佈的白皮書。同時,AMD對該安全公司傳播此白皮書的方式表示擔心,因為白皮書中描述了漏洞的技術細節。AMD發言人說:“我們正在積極調查和分析白皮書中指出的芯片漏洞問題,由於這家安全公司過去並沒有與AMD的合作經曆,我們認為它們處理這件事情的方式不合適,即沒有給AMD合理的時間去調查研究它們的發現之前就向媒體公佈了它們發現的漏洞。”

  此次報告的漏洞都需要獲得管理員權限才能被發現,CTS在報告中稱此次發現的漏洞波及到AMD Ryzen桌面處理器、Ryzen Pro企業處理器、Ryzen移動處理器、和EPYC數據中心處理器。

  據CTS官網的資料顯示,該公司成立於2017年。創始人分別有Ido Li On、Yaron Luk-Zilberman、和Ilia Luk-Zilberman,他們分別擔任公司的首席執行官、首席財務官、和首席技術官。據該公司的博客顯示,該公司至少有兩名高管曾在以色列情報機構工作過。

  考慮到該公司缺少技術專門性,CTS表示此次公佈的白皮書只是提供了發現的漏洞的概述,故意沒有提供對於漏洞的完全描述,以防惡意人員“專門去找到此漏洞並嚐試通過此漏洞來攻擊受影響芯片用戶”。

  據CTS稱,該發現的漏洞將允許惡意代碼在AMD安全處理器上運行,這將使攻擊者能偷取機密證書,還可能使得該惡意軟件通過由Windows機器組成的網絡進行傳播。

  另一個將影響EPYC服務器的漏洞允許攻擊者對受保護的內存區域進行讀取和寫入操作,這將可能被用來偷取由Windows Credential Guard保護機製保護的證書。同時,CTS還發現了一個針對AMD Ryzen處理器的漏洞,該漏洞利用企業軟件和硬件的後門使得攻擊者能注入惡意代碼到處理器中。

  AMD發表聲明稱:“在AMD,安全是具有最高優先級的事情,我們將一直持續工作確保在面臨新的風險時能保護用戶們的安全。現在,我們將全力調查這份剛接到的報告,理解其中提出的問題並給出解決方案”。



挖礦搶走 300 萬繪圖晶片,也推動 AMD 繪圖晶片市占率提升
作者 Atkinson | 發布日期 2018 年 03 月 02 日 16:10 |

[attach]122598371[/attach]

根據市場調查機構 Jon Peddie Research 發布的最新繪圖晶片報告,2017 年第 4 季繪圖晶片(GPU)出貨量和各廠商市占率,AMD 市占率顯著上升,也就是從 2017 年第 3 季的 13%,提升至 14.2%。競爭對手英特爾(Intel)和輝達(Nvidia)則都下滑。

報告指出,不像 AMD 或 Nvidia,英特爾的市場占有率不太會受加密貨幣影響。因英特爾是將 GPU 或 iGPU 裝在桌上型或筆記型電腦裡出售,所以加密貨幣的起伏對英特爾 GPU 銷售影響不大。

[attach]122598378[/attach]

出貨量方面,2017 年全年繪圖晶片出貨量較 2016 年下滑 4.8%,桌上型繪圖晶片出貨量下滑 2%,筆記型電腦繪圖晶片出貨量下滑 7%,但加密貨幣玩家對繪圖晶片產業的影響顯著。2017 年全年,挖礦者貢獻了超過 300 萬個獨立繪圖晶片銷售,金額達 7.76 億美元。

Jon Peddie 報告表示,AMD 是此波挖礦潮受益最多的晶片廠商。AMD 是加密貨幣挖礦者主要的晶片設備,隨著 2017 年第 4 季加密貨幣價格大漲,繪圖晶片的需求也得到顯著提升。這使 AMD 第 4 季出貨量較前一季增加 8.08%,英特爾則下降 1.98%,Nvidia 繪圖晶片出貨量下滑高達 6%。成績反映到財報,AMD 第 4 季財報顯示,第 4 季 EPS 達 0.08 美元,超過市場預期的 0.05 美元。

[attach]122598382[/attach]

Jon Peddie 報告還提到,目前挖礦者正在吞噬整個獨立顯卡的供應,現在產量無法跟上龐大的需求。雖然挖礦者為繪圖晶片做出的貢獻已超過了遊戲,但遊戲仍是繪圖晶片銷售最重要的推動力。不過這種情況可能會在未來趨緩,因挖礦可能不是全部的需求,遊戲玩家將在遊戲空閒時間挖礦,使繪圖晶片的需求不再那麼吃緊。不過,短期內繪圖晶片售價下滑,仍很難達到。

(首圖來源:AMD)



作者: lai23ster    時間: 2018-3-19 01:05 PM

感謝iiifgh 大大無私分享-thank you



歡迎光臨 伊莉討論區 (http://www82.eyny.com/) Powered by Discuz!