精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    不只是英特爾,AMD也被爆出硬件安全漏洞

    摘要:以色列硬件安全公司CTSLabs于日前發(fā)布了一份白皮書(shū),指出AMD芯片存在四類共計(jì)12個(gè)安全漏洞。如果得到證實(shí),則表明AMD設(shè)計(jì)的處理器架構(gòu)也存在安全問(wèn)題。在該白皮書(shū)中,CTSLabs列舉了一系列能夠

    以色列硬件安全公司CTS Labs于日前發(fā)布了一份白皮書(shū),指出AMD芯片存在四類共計(jì)12個(gè)安全漏洞。如果得到證實(shí),則表明AMD設(shè)計(jì)的處理器架構(gòu)也存在安全問(wèn)題。

    在該白皮書(shū)中,CTS Labs列舉了一系列能夠獲得運(yùn)行AMD“Zen”處理器架構(gòu)的計(jì)算機(jī)訪問(wèn)權(quán)的新方法。在最壞的情況下,該公司所描述的安全漏洞能夠讓攻擊者繞過(guò)防止篡改計(jì)算機(jī)操作系統(tǒng)的安全防范措施,并且植入無(wú)法檢測(cè)或刪除的惡意軟件。

    “我們相信這些漏洞會(huì)使應(yīng)用AMD芯片的計(jì)算機(jī)網(wǎng)絡(luò)面臨相當(dāng)大的風(fēng)險(xiǎn),”CTS研究人員在發(fā)表的文章中寫(xiě)道,“這些安全漏洞向惡意軟件敞開(kāi)了大門(mén),而植入的惡意軟件可能在計(jì)算機(jī)重新啟動(dòng)或重新安裝操作系統(tǒng)后仍然存在,而大多數(shù)計(jì)算機(jī)終端的安全解決方案幾乎無(wú)法檢測(cè)到惡意軟件的存在,這可能會(huì)讓攻擊者深入到目標(biāo)計(jì)算機(jī)系統(tǒng)中?!?/span>

    圖示:CTS研究人員在白皮書(shū)中列舉的四類安全問(wèn)題

    CTS的研究人員似乎已經(jīng)發(fā)現(xiàn)了AMD的Zen體系架構(gòu)芯片的真正脆弱點(diǎn),并將其分解為四類攻擊,分別稱為Ryzenfall,Masterkey,F(xiàn)allout和Chimera。

    他們說(shuō),前三種攻擊技術(shù)利用了AMD安全處理器中的安全漏洞,安全處理器是AMD芯片中的一個(gè)獨(dú)立處理器,旨在對(duì)其操作執(zhí)行獨(dú)立的安全檢測(cè)。如果黑客擁有目標(biāo)機(jī)器的管理權(quán)限,類似于CTS的攻擊允許他們?cè)谶@些安全處理器上運(yùn)行自己的代碼。這將能夠讓攻擊者繞過(guò)保護(hù)加載操作系統(tǒng)完整性的安全啟動(dòng)保護(hù)措施以及防止黑客竊取密碼的Windows系統(tǒng)憑證防護(hù)功能。這些攻擊甚至可能讓黑客在安全處理器中植入自己的惡意軟件,在完全躲避殺毒軟件的同時(shí)監(jiān)控計(jì)算機(jī)的其他元素,甚至于在重新安裝計(jì)算機(jī)的操作系統(tǒng)后仍然存在。

    在這四次攻擊中的最后一種,也就是Chimera攻擊中,研究人員表示,他們利用的不僅僅是漏洞,而是一個(gè)后門(mén)。CTS表示,它發(fā)現(xiàn)AMD使用ASMedia出售的芯片組來(lái)處理外圍設(shè)備的操作。研究人員說(shuō),他們?cè)缦劝l(fā)現(xiàn),ASMedia的芯片組具有這樣一個(gè)功能,允許有人通過(guò)電腦在外圍芯片上運(yùn)行代碼,這似乎是開(kāi)發(fā)人員留下的調(diào)試機(jī)制。這種調(diào)試后門(mén)顯然不僅僅存在于ASMedia的產(chǎn)品中,而且還存在于AMD的產(chǎn)品中。

    因此,在機(jī)器上具有管理權(quán)限的黑客可能會(huì)在那些不太起眼的外設(shè)芯片中植入惡意軟件,從而讀取計(jì)算機(jī)的內(nèi)存或網(wǎng)絡(luò)數(shù)據(jù)。由于后門(mén)內(nèi)置于芯片的硬件設(shè)計(jì)中,因此可能無(wú)法用單純的軟件補(bǔ)丁來(lái)修復(fù)。CTS Labs首席執(zhí)行官I(mǎi)do Li On表示:“它是芯片制造本身的問(wèn)題?!斑@可能意味著,解決AMD安全問(wèn)題的唯一解決方案是完全更換硬件。

    雖然CTS并未公開(kāi)披露其攻擊行為的任何細(xì)節(jié),但它確實(shí)與總部位于紐約的安全公司Trail of Bits私下分享這些信息,后者也基本上證實(shí)了CTS的調(diào)查結(jié)果?!盁o(wú)論如何,他們的確發(fā)現(xiàn)了像描述那樣的安全漏洞,” Trail of Bit創(chuàng)始人Dan Guido表示,“如果您已經(jīng)在某種程度上接管了一臺(tái)計(jì)算機(jī),這些安全漏洞將允許你擴(kuò)展該訪問(wèn)權(quán)限,或者隱藏到通常認(rèn)為不存在惡意軟件的部分處理器中?!?/span>

    需要注意的是,所有這四種攻擊都需要管理權(quán)限,這意味著為了執(zhí)行它們,黑客需要事先對(duì)設(shè)備進(jìn)行特殊訪問(wèn)。也就說(shuō),即便沒(méi)有進(jìn)行Ryzenfall、Masterkey、Fallout以及Chimera這四類攻擊,也可能已經(jīng)對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)造成了各種破壞。

    Guido指出,Chimera后門(mén)可能是CTS攻擊中最嚴(yán)重和最難修補(bǔ)的部分,但他也表示,他無(wú)法僅憑CTS的發(fā)現(xiàn)證實(shí)后門(mén)訪問(wèn)計(jì)算機(jī)的程度。他說(shuō):“要想知道如何利用攻擊手段,需要更多的努力來(lái)弄清楚?!?/span>

    但一個(gè)不尋常的舉動(dòng)是,CTS研究人員在公開(kāi)信息前一天才與AMD分享他們的全部發(fā)現(xiàn)。通常安全漏洞的披露窗口會(huì)持續(xù)數(shù)月,旨在為受影響的制造商提供解決問(wèn)題的機(jī)會(huì)。此外在發(fā)表的文章中幾乎沒(méi)有任何技術(shù)細(xì)節(jié)可以讓任何人重現(xiàn)他們描述的攻擊。而且CTS在其網(wǎng)站上包含一個(gè)不尋常的免責(zé)聲明,報(bào)告可能涉及到對(duì)“公司證券表現(xiàn)的經(jīng)濟(jì)利益”產(chǎn)生影響,這引起安全分析師的擔(dān)憂,認(rèn)為CTS可能從AMD股價(jià)的下跌中受益。

    “由于我不認(rèn)為他們的行為是真誠(chéng)的,并且缺乏細(xì)節(jié)使得其無(wú)法驗(yàn)證,所以我們很難全面解析它,“阿姆斯特丹自由大學(xué)硬件安全研究員Ben Gras寫(xiě)道,”這讓我擔(dān)心,這種影響可能被人為夸大了?!?/span>

    谷歌安全研究員Arrigo Triulzi在Twitter上用簡(jiǎn)單的語(yǔ)言描述了這項(xiàng)研究:“過(guò)度炒作超出了信念?!?/span>

    而AMD則針對(duì)該報(bào)告發(fā)布聲明稱,“在AMD公司,安全是首要任務(wù)。因?yàn)樾碌陌踩L(fēng)險(xiǎn)不斷出現(xiàn),我們一直在努力確保用戶安全,”AMD在其自己對(duì)WIRED的簡(jiǎn)短聲明中寫(xiě)道,“我們正在調(diào)查剛剛收到的這份報(bào)告,以了解研究結(jié)果的方法和價(jià)值?!?/span>

    CTS表示,之所以沒(méi)有公開(kāi)技術(shù)細(xì)節(jié)是為了不讓通其他黑客利用其發(fā)現(xiàn)的安全漏洞和后門(mén)。“我們不會(huì)讓任何人處于危險(xiǎn)之中,”CTS聯(lián)合創(chuàng)始人Yaron Luk-Zilberman表示,“我們?cè)緵](méi)有意向?yàn)楣娞峁┩暾募夹g(shù)細(xì)節(jié),我們只會(huì)為那些能夠提供安全問(wèn)題解決方案的公司提供技術(shù)細(xì)節(jié)?!?/span>

    本文轉(zhuǎn)自“網(wǎng)易科技”。

    極客網(wǎng)企業(yè)會(huì)員

    免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

    2018-03-15
    不只是英特爾,AMD也被爆出硬件安全漏洞
    摘要:以色列硬件安全公司CTSLabs于日前發(fā)布了一份白皮書(shū),指出AMD芯片存在四類共計(jì)12個(gè)安全漏洞。如果得到證實(shí),則表明AMD設(shè)計(jì)的處理器架構(gòu)也存在安全問(wèn)題。

    長(zhǎng)按掃碼 閱讀全文