※ 本文為 JackLee5566.bbs. 轉寄自 ptt.cc 更新時間: 2018-03-16 12:23:02
看板 PC_Shopping
作者 標題 [情報] AMD Zen連曝12個高危險安全漏洞:全中招
時間 Thu Mar 15 09:15:45 2018
Meltdwon熔斷、Spectre幽靈漏洞最近把Intel折騰得夠嗆
AMD、ARM雖然也受影響但相對小很多,不過現在,針對AMD的一記重拳突然打了出來。
以色列安全公司CTS-Labs研究發現,AMD Zen CPU架構存在多達12個高安全漏洞
危害程度絲毫不亞於熔斷、幽靈漏洞。這些漏洞
波及AMD Ryzen桌上型處理器、Ryzen Pro企業處理器、Ryzen行動處理器、EPYC數據中心
處理器
不同漏洞對應的平台不同,其中21種環境下已經被成功利用,還有11個存在被利用的可能
。
利用這些漏洞可以給AMD Zen平台造成多種嚴重危害,包括:控制Ryzen/EPYC安全處理器
控制Ryzen主機板、利用惡意軟體感染AMD處理器、竊取企業網路敏感訊息、繞開幾乎所有
終端安全軟體、造成硬體物理損壞。
控制Ryzen主機板、利用惡意軟體感染AMD處理器、竊取企業網路敏感訊息、繞開幾乎所有
終端安全軟體、造成硬體物理損壞。
這些漏洞分為四大類:
1、Masterkey
包括三個漏洞,波及Zen架構全系產品,存在於安全啟動(Secure Boot)功能中
可通過特製的Ring 0權限級別軟件修改系統BIOS,進而繞過安全檢查
漏洞原因是AMD Zen架構整合的安全處理器(一個32位元的Cortex-A5架構模組)沒有使用自
己的單獨物理記憶體空間,而是共享系統記憶體。
2、Ryzenfall
包括四個漏洞,全系列Ryzen都受影響,針對的還是Zen安全處理器
可導致公共和私有密鑰洩露,並在晶片層面執行,源於安全處理器和整合記憶體控制器設
計的缺陷
另外漏洞還可以繞過用來保存和認證密碼的Windows Defender Credentials Guard,以及
其他安全功能,甚至能藉機擴散到其他電腦上。
3、Fallout
包括三個漏洞,可以打通虛擬機和主機,攻擊對像是伺服器的EPYC。
4、Chimera
包括兩個漏洞,針對的不是處理器,而是配套的300系列晶片組。研究者發現
可以通過網路向晶片組植入按鍵記錄器(Keylogger),進而直通主機板BIOS,因為它就保
存在與晶片組相連的一個ROM中。
研究人員已經公佈了相關漏洞的白皮書,但出於保護目的隱藏了技術細節
同時也給出了解決辦法,AMD有90天的時間來修復它們。
來源
http://news.mydrivers.com/1/569/569712.htm
AMD Zen连曝12个高危安全漏洞:全系中招-AMD,Zen,架构,漏洞,Ryzen,EPYC,-驱动之家 AMD Zen连曝12个高危安全漏洞:全系中招 ...
XF編譯
http://www.xfastest.com/thread-217820-1-1.html
AMD Zen連曝12個高危安全漏洞:全系列中招 -
![[圖]]()
Meltdwon熔斷、Spectre幽靈漏洞最近把Intel折騰得夠嗆,AMD、ARM雖然也受影響但相對小很多,不過現在,針對AMD的一記重拳突然打了出來。以色列安全公司CTS-Labs研究發現 ... AMD Zen連曝12個高危安全漏洞:全系列中招 ...
![[圖]](http://www.xfastest.com/data/attachment/forum/201803/14/102104cahiwyhnyww9iuuw.png)
觀望期 90 天後修復再買 急的話就先買修好的其他平台
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 14.51.13.169
※ 文章代碼(AID): #1QgSb5yx (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1521076549.A.F3B.html
→ : 打手....好像..有點1F 03/15 09:17
推 : Amd最穩定惹2F 03/15 09:20
推 : 現在i陣營不是盡力修補自己的破洞 而是全力找對手的3F 03/15 09:21
→ : 漏洞 科科科
→ : 漏洞 科科科
推 : 轉貼還故意轉貼不完整....5F 03/15 09:22
推 : 找對手的漏洞這也沒什麼大不了的 只是這幾個...6F 03/15 09:22
噓 : op啦7F 03/15 09:22
噓 : 娛樂新聞8F 03/15 09:25
→ : AMD不倒 用戶睡不好9F 03/15 09:29
→ : 伺服器客戶全都跑 股票賺少少
→ : 伺服器客戶全都跑 股票賺少少
推 : 52、心喜11F 03/15 09:30
推 : amd不倒 是c52賺少少會睡不好...12F 03/15 09:31
噓 : UAC.exe........loading 33%13F 03/15 09:31
推 : 崩14F 03/15 09:31
→ : 不15F 03/15 09:31
推 : WINRAR.rar16F 03/15 09:31
推 : 崩崩崩崩17F 03/15 09:31
→ : 不不不不18F 03/15 09:32
→ : 今天我看pcdiX 跟電腦X 全部跟上po這個文...XD..說19F 03/15 09:32
→ : 沒用力有點..
→ : 沒用力有點..
推 : 第一個大概是最蠢的...你要先對BIOS動手腳21F 03/15 09:39
噓 : 崩崩崩22F 03/15 09:45
推 : 崩23F 03/15 09:48
→ : RISC-V的機會來了24F 03/15 09:48
推 : 蘇媽憔悴老 A粉牆頭草 電蝦大聲吵 說~25F 03/15 09:50
→ : c52狂洗腦
→ : c52狂洗腦
推 : .......c52是想參加【中國有嘻哈】嗎27F 03/15 09:54
推 : 樓上火力全開欸 XD28F 03/15 09:55
推 : 哈哈哈29F 03/15 09:59
推 : 打手這次是用鴿子?30F 03/15 10:03
推 : 推中國有嘻哈XD31F 03/15 10:08
推 : 用同樣標準測試intel跟arm就沒相同漏洞嗎? 騙誰呀32F 03/15 10:11
→ : 哈哈哈哈哈33F 03/15 10:11
推 : 糖糖,這不用記了34F 03/15 10:11
→ : 起手式要先root權限就沒什麼不能搞了吧 騙文組的喔35F 03/15 10:11
推 : 請先刷BIOS在使用此漏洞36F 03/15 10:19
→ : 打手正常發揮37F 03/15 10:21
推 : 52想跟隨學長的腳步可以也參加易經社38F 03/15 10:21
→ : 行銷公司都趁勢(配合?)動了起來?39F 03/15 10:22
推 : 投資客大多文組啊40F 03/15 10:22
推 : 這邊不就一個自稱理組爽到高潮嗎w41F 03/15 10:30
噓 : 冷門CPU沒有公測 漏洞多或少有差嘛? 還不是沒人用42F 03/15 10:32
推 : 夠低能43F 03/15 10:50
推 : ob"_"ov表示44F 03/15 10:57
推 : 怕爆 只要被拿到admin權限就會被攻擊漏洞了45F 03/15 11:08
推 : 90天這個說法 其實我也有聽過新產品等3個月的說法46F 03/15 11:13
→ : 為啥是90天啊 我也不知道 但就是聽過這樣說法
→ : 我是知道新產品 總是需要超大量使用者DEBUG
→ : 但實在是不懂 為啥是90天 不只打手這樣說而已
→ : 為啥是90天啊 我也不知道 但就是聽過這樣說法
→ : 我是知道新產品 總是需要超大量使用者DEBUG
→ : 但實在是不懂 為啥是90天 不只打手這樣說而已
推 : 一般規矩 找到漏洞最少要給九十天去補才能公布50F 03/15 11:17
噓 : 還在騙阿51F 03/15 11:17
→ : 一般規矩 要給廠商時間驗證&做Patch才會公布漏洞
→ : 因為影響程度重大的時候就要這樣處理 怕被駭客濫用
→ : 90天 甚至 180天(Meltdown這次)都有
→ : 一般規矩 要給廠商時間驗證&做Patch才會公布漏洞
→ : 因為影響程度重大的時候就要這樣處理 怕被駭客濫用
→ : 90天 甚至 180天(Meltdown這次)都有
![[圖]](https://i.imgur.com/nKEaaK9h.jpg)
推 : 完全娛樂56F 03/15 11:23
→ : 113大二生又高潮惹57F 03/15 11:31
推 : 幫AMD找漏洞很好啊,找bug最頭痛了58F 03/15 11:34
推 : 同樣標準 Intel ME大概..59F 03/15 11:56
推 : 這樣算惡意抹黑嗎?60F 03/15 12:25
推 : Ryzenfall wwwwwwww 拜託你轉文真的不會閱讀麻?61F 03/15 12:37
噓 : 娛樂新聞還PO這麼爽 看來廣告費有打購62F 03/15 12:56
推 : 居然有fallout63F 03/15 12:59
噓 : 你家門鎖設計不良喇 鑰匙拿來我示範給你看64F 03/15 13:00
推 : 原廠打手65F 03/15 13:02
→ : 感謝打手讓我知道了xfastest網站的文章不能看66F 03/15 13:10
推 : 那蛆蛆寫的 看a粉 普遍呈現緊張67F 03/15 13:13
推 : 原廠打手(x) A黑打手(O)68F 03/15 13:21
噓 : 最會貼假新聞69F 03/15 14:02
→ : 其實驅動之家的原文有AMD的回應70F 03/15 14:11
推 : xfastest還不如驅動之家,只會轉載對岸垃圾新聞71F 03/15 14:20
→ : 連自己寫文章的能力都沒有,只能用抄的XD
→ : 國內科技媒體普遍沒辦法寫專業文,連當標題黨也不行
→ : 真的廢到笑XD
→ : 連自己寫文章的能力都沒有,只能用抄的XD
→ : 國內科技媒體普遍沒辦法寫專業文,連當標題黨也不行
→ : 真的廢到笑XD
推 : 等你開一家進去當編輯 來改革這個風氣75F 03/15 14:23
→ : 對岸也是一堆翻譯新聞只是台灣連翻譯都懶直接簡轉繁76F 03/15 14:30
推 : A粉.exe 崩潰中…77F 03/15 14:40
推 : A粉持續崩潰,有人要爆米花嗎78F 03/15 15:02
推 : AMD就是爛Zzz79F 03/15 15:18
推 : 不爬文跟看內容 出現三連擊惹 wwwwwwww80F 03/15 15:25
推 : Zzzz81F 03/15 15:26
→ : PSP就跟ME一樣,黑盒子很多東西等著爆炸82F 03/15 15:31
推 : amd倒了c52照買3萬一顆6核i7爽爽83F 03/15 15:31
→ : 但是這CTS就無良,不排除是故意來亂的w84F 03/15 15:31
推 : 三個get85F 03/15 15:36
推 : 第一點你都拿到Ring 0權限了還要搞這麼麻煩的東西嗎86F 03/15 15:41
→ : 所以 CTS Labs 是純炒股公司嗎?87F 03/15 15:49
推 : 目前看起來是一個放空集團的空殼88F 03/15 15:49
推 : 眼科跟腦科最近應該很賺89F 03/15 15:50
→ : 內文簡譯:任何人都可以偷這家店的東西 只要你有鑰匙90F 03/15 16:07
→ : 幹! 這不是廢話嗎?
→ : 幹! 這不是廢話嗎?
推 : 知識無價92F 03/15 16:17
推 : 漏洞就是使用者的腦子93F 03/15 16:24
噓 : CTS實驗室感覺外觀跟內裝差異太大94F 03/15 16:30
推 : 說個笑話 AMD 最安全了,到底下架了沒?怎麼只有i缺95F 03/15 16:32
→ : 貨呢?真奇怪
→ : 貨呢?真奇怪
推 : 全部出動了w97F 03/15 17:23
→ : 這新聞昨天才被打到爆呀98F 03/15 17:45
→ : 第一個超蠢 要刷BIOS才能裝 還要在開機階段被載起
→ : 來
→ : 第一個超蠢 要刷BIOS才能裝 還要在開機階段被載起
→ : 來
噓 : 空軍假消息101F 03/15 19:21
噓 : I粉的腦wwwww102F 03/15 19:36
推 : 哈哈哈哈哈 爛死了103F 03/15 20:26
推 : UEFI可以用OS後台刷BIOS,刷完發重開機指令不就搞定.104F 03/15 23:04
→ : ..
推 : 其實AMD類似ME的小系統很安全的都沒有漏洞,一切都
→ : 是台灣ODM的錯!
→ : ..
推 : 其實AMD類似ME的小系統很安全的都沒有漏洞,一切都
→ : 是台灣ODM的錯!
→ : 那種取得ROOT的方式 INTEL一樣會中招啦108F 03/15 23:33
→ : 沒有必要只拿AMD說嘴
→ : 都有你家的鑰匙的 我要進你家還不容易?
→ : 還是INTEL特別強 有鑰匙還打不開?
→ : 沒有必要只拿AMD說嘴
→ : 都有你家的鑰匙的 我要進你家還不容易?
→ : 還是INTEL特別強 有鑰匙還打不開?
噓 : 我就知道 這樣的打手最對味112F 03/16 02:25
→ : 樓上那是門壞惹拔
→ : 樓上那是門壞惹拔
推 : A那種代理價格,真不知道有多少腦粉會下架www114F 03/16 07:03
→ : 我能動你後台刷你bios 我還裝個屁malware?115F 03/16 12:11
→ : 你根本整台都已經是我的啦
→ : 退一萬步說 那也是資安甚至保全等級的問題
→ : 你根本整台都已經是我的啦
→ : 退一萬步說 那也是資安甚至保全等級的問題
--
※ 看板: Z_sports 文章推薦值: 0 目前人氣: 0 累積人氣: 35
回列表(←)
分享