Väitetyt haavoittuvuudet koskevat näillä näkymin vain järjestelmiä, joihin hyökkääjä pääsee käsiksi järjestelmänvalvojatason oikeuksin ja joihin hän kykenee päivittämään haitalliseksi tarkoitetun BIOS-version ja muita ohjelmistoja.

Nettiin on ilmestynyt uusi AMDFlaws-sivusto, jossa kerrotaan 13 väitetystä haavoittuvuudesta AMD:n Zen-arkkitehtuuriin perustuvissa prosessoreissa sekä Promontory-piirisarjassa. Tyhjästä ilmestynyt väite herätti aluksi hämmennystä, mutta pienen tutkiskelun jälkeen haavoittuvuudet vaikuttavat enemmän markkinoiden manipulointiyritykseltä kuin miltään muulta.

AMDFlaws-sivuston takaa löytyy CTS Labs -niminen viime vuonna perustettu yritys, jonka omat verkkosivut avattiin vasta tämän vuoden tammikuussa. Yhtiön meriitit ovat toistaiseksi tuntemattomia, eikä ainakaan yhtiön tuottama esittelyvideo vakuuta: videolla esitellään yhtiön väkeä ”päämajassaan” käyttäen haastatteluiden taustana netin kuvapankeista saatavia kuvia toimistoista ja datakeskuksista. Huomionarvoista on myös se, ettei tietoturvayhtiöksi itseään kutsuvan CTS Labsin omilla verkkosivuilla ole SSL-sertifikaattia.

Yhtiön vastuuvapauslauseke julkaisemansa whitepaperin lopussa vihjaa, että yhtiöllä on taloudellisia intressejä AMD:n prosessoreiden ja piirisarjojen turvallisuuteen liittyen. Nuo yhteydet on netissä liitetty Viceroy Research -yhtiöön, joka on Saksassa epäiltynä talousrikoksista. Viceroy Research on lisäksi julkaissut nopealla aikataululla CTS Labsia puolustavan kannanoton, jonka mukaan AMD:n osakkeen oikea arvo olisi nolla dollaria ja yhtiön ainut vaihtoehto tässä vaiheessa olisi hakeutua konkurssiin.

AMD:n mukaan CTS Labs on entuudestaan yhtiölle tuntematon yritys, jonka käytös tietoturvayritykseksi on vähintäänkin outoa. Yhtiö oli antanut AMD:lle alle vuorokauden aikaa tutustua väitettyihin haavoittuvuuksiin ennen niiden julkistusta AMDFlaws-sivuston kautta kaiken kansan nähtäville. Hyvien tapojen mukaisesti tietoturvayritykset antavat normaalisti yritykselle aikaa reagoida haavoittuvuuksiin ennen niiden julkistamista. AMD kertoo tutkivansa väitetyt haavoittuvuudet ja kertovansa asiasta sen jälkeen lisää.

Mitä itse haavoittuvuuksiin tulee, ainakin tässä vaiheessa allekirjoittaneelle on jäänyt kaksijakoinen kuva. Toisaalta on totta, että haavoittuvuudet ovat mitä ilmeisimmin olemassa, mutta vain siinä tapauksessa, että tietokoneeseen on erikseen asennettu erityinen, haitalliseksi tarkoitettu BIOS-versio, piirisarjalle tietty firmware-versio ja niin edelleen. Lisäksi ilmeisesti vaatimusten listalta löytyy järjestelmänvalvoja-tason käyttöoikeuden käyttöjärjestelmään muiden muokkausten päälle. Kokoonpanot siis eivät ole haavoittuvia, ellei joku vihamielinen taho pääse käsiksi koneeseen ja muun muassa päivittämään sen BIOSia.

io-tech seuraa tilanteen kehittymistä ja uutisoi sen uusista käänteistä. Voit lisäksi seurata asiaa muun muassa Redditin asialle omistetussa megaketjussa, jossa on linkkejä useisiin asiasta tavalla tai toisella uutisoineisiin tahoihin.

This site uses XenWord.