Zen-alustaa koskevat haavoittuvuudet vaativat toimiakseen järjestelmänvalvojatason oikeudet ja joissain tapauksissa myös vihamieliset, digitaalisesti allekirjoitetut ajurit.

CTS Labs nousi ryminällä otsikoihin aiemmin tänä vuonna, kun se paljasti joukon AMD:n Zen-alustaa koskevia haavoittuvuuksia. Haavoittuvuudet herättivät vilkasta keskustelua ei niinkään itse haavoittuvuuksien, vaan CTS Labsin toimintatapojen vuoksi.

CTS Labs julkaisi maaliskuussa tiedon AMD:n Zen-alustoja koskevista Chimera-, MasterKey- ja Ryzenfall-haavoittuvuuksista. Yhtiö joutui kuitenkin nopeasti itse tapetille, sillä se ei ollut noudattanut alalla vallitsevia hyviä tapoja haavoittuvuuksien julkaisusta ilman, että valmistajalle annetaan aikaa tutkia, onko haavoittuvuudet ylipäätään olemassa ja valmistella lausunto niistä. Voit tutustua tarkemmin tapaukseen aiemmissa uutisissamme.

CTS Labsin julkaisemat haavoittuvuudet olivat sikäli täysin aitoja, että ne todella olivat olemassa. Oleellista haavoittuvuuksien kohdalla oli kuitenkin myös se, että jok’ikinen niistä vaati vähintään järjestelmänvalvoja-tason oikeudet muuta kautta, sekä joissain tapauksissa myös vihamielisten mutta virallisella allekirjoituksella varustettujen ajureiden asennusta.

AMD on antanut Tom’s Hardwarelle tiedotteen, jonka mukaan yhtiö sai ensimmäiset päivitykset valmiiksi noin 30 päivässä CTS Labsin ilmoituksesta ja ne ovat parhaillaan yhtiön kumppaneiden testattavina. AMD:n mukaan ensimmäiset päivitykset korjaavat kaikki Epyc-alustan ilmoitetut haavoittuvuudet sekä Chimera-haavoittuvuuden kaikilta alustoilta. Muihin haavoittuvuuksiin yhtiö kertoo julkaisevansa päivityksen vielä tämän kuun aikana.

Lähde: Tom’s Hardware

This site uses XenWord.