就在數週前,Intel 的 CPU 晶片被 Google 安全研究人員批露,因為晶片設計的問題,駭客可以輕易的入侵所有使用 Intel CPU 晶片的電腦,而且同樣類似的漏洞也可能出現在 AMD、ARM 等大廠的晶片裡。

TO 延伸:Intel 這次的漏洞不得了,微軟、蘋果都得改寫系統才能修

在事件當時,身為 Intel 主要競爭對手之一的 AMD(超微公司)對外宣稱,他們的晶片採用的技術與 Intel 不完全相同,因此在安全性上無慮。

但現在,AMD 可能也要頭大,因為他們被一間以色列的資安公司「銃康式」爆料,指稱他們的晶片有 13 個漏洞,足以讓駭客控制整台電腦。

以色列資安公司發現 13 個漏洞,卻只提早一天通知 AMD

根據多家媒體報導,來自以色列的資安公司 CTS Labs 在 3 月 13 日對外公佈了 13 個來自 AMD 晶片的漏洞,其涉及了 AMD 旗下包含伺服器、筆記型電腦與工作站等系列的處理器。

資安業者對外公布漏洞不是什麼新鮮事,但這次的公布令人覺得錯愕的是,不同於 Google 處理 Intel 資安事件時,採取先通知廠商與受影響業者,給予 90 天修補緩衝後才公開漏洞,CTS Labs 這次只提前了不到一天通知 AMD ,隨後便對外公開相關的消息,這讓 AMD 措手不及,且至昨日(14 日)為止 AMD 並沒有正式對外回應相關的安全問題。

話雖如此,AMD 仍然對於 CTS Labs 的作法表達了不滿。根據 iThome 的報導,雖然沒有發布正式聲明,但 AMD 在面對媒體詢問時直接表達了對 CTS Labs 的不滿。AMD表示,他們根本沒聽過 CTS Labs,對於一家資安業者而言,在未給予製造商充份的調查與解決時間就揭露研究報告很不尋常,AMD 正在調查與分析相關漏洞。

漏洞確實存在,CTS Labs 還成立網站提供白皮書

事實上,CTS Labs 的處理方法確實與一般資安業者或研究人員的方式有所差異。一般在漏洞被發現的當下,資安公司或研究人員都會先聯繫相關的廠商,將漏洞細節回報,並將相關訊息保留 60 至 90 天不等的時間,讓廠商能夠在這段時間內研究、認證並修補相關的漏洞,當廠商來不及完成修復時,這個時間也可能被拉長(當然也有例外,像 Google 就會依照安全政策強制於 90 天後公布,無論是否已經修復)。

因此,對於 CTS Labs 在告知漏洞後不到一天的時間內就公開相關事件的這種作法實屬罕見,而且 CTS Labs 甚至還架設了一個網站,裡面不但簡單的介紹了 AMD 的漏洞,還提供大眾索取細節白皮書。

雖然動機令人質疑,但不幸的是,經過其它安全人員的確認,CTS Labs 所提出的漏洞確實是真的,且可以被其它駭客依照說明書執行同樣的攻擊,因此 AMD 可能得先加快腳步,在進一步有災情傳出前,修復相關漏洞。

─ ─

參考資料來源:
CTS Labs:AMD Flaws
iThome:以色列資安業者公布13個晶片安全漏洞,讓AMD猝不及防
中央社:超微晶片存漏洞 駭客可控制電腦

(本文提供合作夥伴轉載,首圖來源:WIKIMEDIA,CC licensed。)

更多 Intel 事件的前因後果

Intel 這次的漏洞不得了,微軟、蘋果都得改寫系統才能修
不只 Intel 出包,Google 資安團隊:不得了,所有 CPU 廠商都中獎
Intel 漏洞越補越大洞:官方證實更新後部分用戶異常重開機,補心酸的?