AMD利用固件补丁清理芯片组安全漏洞

AMD终于认识到其对Epyc，Ryzen，Ryzen Pro和Ryzen Mobile芯片的安全缺陷的看法。这些漏洞影响管理AMD安全处理器的固件以及运行AMD芯片的某些插座AM4和插座TR4桌面平台中使用的芯片。

3月20日，AMD高级副总裁兼首席技术官Mark Papermaster淡化了错误的严重程度，并承诺固件即将出现。

需要指出的是，研究中提出的所有问题都需要对系统进行管理访问，这是一种有效地授予用户对系统的无限制访问权的访问类型，以及删除，创建或修改任何文件夹或文件的权限 电脑，以及改变任何设置，任何获得未经授权的管理访问权的攻击者都会有大量的攻击可供使用，远远超出了本研究确定的攻击范围。现代操作系统和虚拟机管理程序有额外的安全控制，如Microsoft Windows Credential Guard，可以防止利用所识别的漏洞所需的特权提升。

Mark Papermaster指出上周安全公司Trail of Bits首席执行官Dan Guido和帮助验证CTS Labs研究结果的研究人员所做的观察，该研究人员试图澄清这些缺陷带来的风险。

Guido上周说的和Papermaster非常相似，这些虫子不容易被利用。Guido说：“绝大多数用户都没有直接利用这些漏洞的风险。 “即使今天发布了全部细节，攻击者也需要投入大量的开发工作来构建利用这些漏洞的攻击工具。”

AMD表示将通过MASTERKEY，FALLOUT和RYZENFALL的BIOS更新提供固件补丁，并且还将在未来几周为其安全处理器（PSP）提供固件修复。 该公司坚称不会有性能问题。

该芯片设计师表示，它还打算通过针对CHIMERA错误的BIOS更新发布一个缓解补丁。 此外，它正在与第三方供应商合作，设计和制造适当缓解措施的“Promontory”芯片组。Papermaster补充说，CTS实验室发现的安全问题与Google研究人员2018年1月发现的漏洞无关。

原文：https://www.theregister.co.uk/2018/03/21/amd_brushes_off_chip_flaws/