Уязвимости процессоров AMD: всё не так очевидно?

Вчера разнеслась новость о том, что ранее неизвестная исследовательская фирма CTS-Labs выявила 13 серьёзных уязвимостей в продуктах AMD. Если эти недостатки безопасности действительно настолько критичны, то крайне важно, чтобы AMD немедленно с ними справилась. Но стоит обратить внимание на довольно необычный способ, который израильская фирма выбрала для раскрытия информации об уязвимостях, и на другие связанные с этим странности, на которые указывают многие специалисты.

В случае со Spectre и Meltdown, например, серьёзный урон индустрии нанёс даже тот факт, что публикация информации об уязвимостях произошла на неделю раньше, чем планировали Intel, AMD, ARM и Google. Но при этом упомянутые компании были осведомлены о Spectre и Meltdown с июня (то есть за полгода) и в течение этого времени работали над исправлениями. Фактически, Google предоставила разработчикам процессоров и ОС расширенный срок для выпуска исправлений. Это стандартная процедура раскрытия информации об уязвимостях: обычно затронутым компаниям предоставляется, по крайней мере, 90-дневное окно для создания заплаток и подготовки адекватной реакции. Но израильская контора CTS-Labs уведомила AMD менее чем за день до публикации.

Уязвимости процессоров AMD: всё не так очевидно?

Стоит добавить, что CTS-Labs наняла PR-фирму для обработки запросов прессы, а её красочный веб-сайт AMDFlaws.com явно не соответствует типичной методологии раскрытия информации об ошибках. Фактически, текст сайта призван вызвать панику и включает в себя цитаты вроде подобных:

«Зачем мы это делаем? Чтобы обратить внимание общественности на проблемы и предупредить пользователей и организации. В частности, мы настоятельно призываем сообщество уделять более пристальное внимание безопасности устройств AMD, прежде чем использовать их в критически важных системах, которые могут потенциально подвергнуть опасности жизни людей».

Spectre затрагивает каждый процессор Intel (и ряда других компаний), выпускаемый в последние два десятка лет, но Google Project Zero избегала такого рода гиперболических заявлений, когда раскрыла уязвимость наряду с Meltdown. Вот ещё одна любопытная цитата:

«Как скоро будут доступны исправления? Мы не знаем. CTS связывается с отраслевыми экспертами, чтобы попытаться ответить на этот вопрос. По мнению экспертов, уязвимости прошивки, такие как MasterKey, RyzenFall и Fallout, требуют нескольких месяцев для исправления. Аппаратные уязвимости, такие как Chimera, не могут быть исправлены и требуют обходного пути. Реализация обходных методов, в свою очередь, может быть затруднительна и вызвать нежелательные побочные эффекты».

Но почему ссылка идёт на неких экспертов, тогда сотрудники CTS не дождались ответа и официальной оценки от самой AMD? Обычно для определения времени, необходимого для выпуска исправлений, специалистам по безопасности нужно связаться с производителем. К тому же сайт CTS-Labs почти не содержит технической информации об уязвимостях, зато изобилует инфографикой: возможно целью является привлечение скандального внимание общественности, а не сообщения о проблеме с безопасностью?

Хорошие конторы, занимающиеся безопасностью, не подставляют пользователей под потенциальную угрозу, публикуя сведения об уязвимостях, борьба с которыми может занять несколько месяцев. Такие фирмы не нагоняют панику, а используют сайты вроде AMDFlaws для технического информирования. Они не делают выводов, а передают информацию в нужные руки для скорейшего преодоления проблем.

Минимум один независимый эксперт по безопасности, Дэн Гвидо (Dan Guido), утверждает, что опубликованные уязвимости CTS Labs действительно имеют место. Он отметил, что ещё на прошлой неделе с ним связались специалисты CTS Labs для проверки своих выкладок, предоставили полный технический отчёт и примеры кода эксплоитов для каждого набора уязвимостей. «Независимо от шумихи вокруг публикации, могу отметить, что ошибки реальны, точно описаны в техническом отчёте (который, насколько мне известно, не является публичным), и их код эксплоитов работает», — отметил он.

Похоже, ошибки действительно реальны, но насколько они критические? Многие отмечают, что их значение многократно преувеличено. Сам же Дэн Гвидо при просьбе сравнить их с уязвимостями блока предсказания ветвлений современных CPU сказал: «Meltdown и Spectre потребовали новых исследований. Напротив, все эти последние уязвимости были хорошо поняты ещё с 1990-х годов. Они не являются новыми фундаментальными проблемами, они представляют собой хорошо понимаемые ошибки программирования».

Если проблемы безопасности реальны, AMD должна поскорее их исправить. Компания заслуживает критики за то, что не смогла их выявить ранее. Но даже если выводы CTS-Labs являются подлинными, компания сообщила их в такой манере, которая целиком противоречит нормальной практике сообщества безопасности. Всё это слишком похоже на чёрный PR, в котором заинтересованы какие-то стороны.

Вполне возможно, что начинающая CTS-Labs решила таким скандалом привлечь к себе внимание ценой пренебрежения лучшими практиками раскрытия информации о безопасности. Впрочем, выявление 13 уязвимостей в известном микропроцессоре гарантировало, что внимание в любом случае будет привлечено.

CTS-Labs призналась ресурсу Reuters в том, что состоит из шести сотрудников и делится своими исследованиями с компаниями, которые платят за информацию. Пользователи Reddit указали, что специалисты компании сняли свои интервью «на зелёном экране», а затем заменили фон (что также косвенно свидетельствует о скромном размере конторы).

Тем временем компания Viceroy Research, замеченная в спекуляциях с игрой на понижении, опубликовала на основе полученных от CTS данных 25-страничный «некролог» AMD, в котором заявляет, что AMD стоит $0,00, и полагает, что никто в принципе не должен покупать продукты AMD для каких бы то ни было целей. Он также прогнозирует, что AMD будет вынуждена подать заявление о банкротстве. Посмотрим, как будут развиваться события далее и как прокомментирует сложившуюся ситуацию сама AMD.


Источник: 3DNews

#amd, amd ryzen, CPU, EPYC, Ryzen, безопасность, процессор, уязвимость

Читайте также