Увлекательный сериал, связанный с уязвимостями MasterKey, Chimera, Ryzenfall и Fallout, опубликованных при весьма сомнительных обстоятельствах, продолжается. Вчера CTS Labs представила Proof of Concept для уязвимости MasterKey, со своей стороны AMD подтвердила существование уязвимостей. Но AMD отмечает, что для атаки необходимы права администратора. И все уязвимости будут закрыты в течение недели с помощью обновлений BIOS и микрокода.
CTS Labs отреагировала на публикацию AMD. Судя по заявлению, AMD пытается приуменьшить катастрофический характер уязвимостей. Да и к планам представления обновлений BIOS и микрокода в течение недели исследователи отнеслись скептически. Они называют срок в несколько недель, а то и месяцев.
Опубликованные уязвимости касаются не индивидуальных систем. Если одна система будет скомпрометирована, то можно будет атаковать и все остальные компьютеры в сети. Так что найденные уязвимости имеют критический характер. Наконец, даты исправления уязвимости Chimera прогнозировать сложно, поскольку в процесс должны быть вовлечены и производители материнских плат. Что приведет к дальнейшим задержкам.
Ниже приведены выдержки из заявления CTS Labs (перевод Hardwareluxx).
- Мы считаем, что AMD пытается занизить значимость уязвимостей
- На наш взгляд, представленный AMD план выпуска патчей нереалистичен - мы считаем, что на выпуск некоторых исправлений уйдут даже не недели, а месяцы
- Мы считаем, что уязвимости AMD потенциально представляют опасность не только для локальных компьютеров, но и для сетевых систем в целом
- Отметим, что AMD не привела примерных планов по исправлению уязвимости CHIMERA
Теперь настала очередь ответа AMD. Впрочем, чем быстрее появятся обновления BIOS и прошивки, тем больше заявления CTS Labs будут казаться высосанными из пальца.