AMD はついに、1 週間前に CTS-Labs によってかなり過剰な形で特定された Epyc、Ryzen、Ryzen Pro、および Ryzen Mobile チップのセキュリティ上の欠陥についての意見を表明しました。
この脆弱性は、AMD セキュア プロセッサを管理するファームウェアと、AMD シリコンを実行する一部のソケット AM4 およびソケット TR4 デスクトップ プラットフォームで使用されるチップに影響します。
AMDの上級副社長兼CTOであるマーク・ペーパーマスター氏は、火曜日のAMDウェブサイトへの投稿で、バグの深刻さを軽視し、ファームウェアの修正を約束した。
「この研究で提起された問題はすべて、システムへの管理者アクセスを必要とする点に注意することが重要です。管理者アクセスとは、事実上、ユーザーにシステムへの無制限のアクセスと、コンピューター上のあらゆるフォルダーやファイルの削除、作成、修正、およびあらゆる設定の変更の権限を与えるアクセスの種類です」とペーパーマスター氏は述べた。
「不正な管理者アクセスを獲得した攻撃者は、この調査で特定された脆弱性をはるかに超える、幅広い攻撃手段を利用できるようになる。」
ペーパーマスター氏はさらに、最新のオペレーティング システムとハイパーバイザーには、Microsoft Windows Credential Guard などの追加のセキュリティ制御があり、特定された脆弱性を悪用するために必要な権限の昇格を防ぐことができると述べています。
同氏は、セキュリティ企業 Trail of Bits の CEO であり、CTS-Labs の調査結果の検証に協力した研究者でもある Dan Guido 氏が先週行った観察を指摘し、その観察は欠陥によってもたらされるリスクを明らかにしようとしている。
さて、深呼吸してリラックスしましょう...これらの厄介なAMDチップのセキュリティ欠陥を冷静に見てみましょう
続きを読む
Guido は先週、Papermaster とほぼ同じことを述べており、バグを悪用するのは容易ではないと述べています。
「ほとんどのユーザーにとって、これらの脆弱性を悪用される即時のリスクはありません」とGuido氏は述べています。「たとえ詳細が今日公開されたとしても、攻撃者はこれらの脆弱性を悪用する攻撃ツールを開発するために、多大な開発労力を費やす必要があるでしょう。」
AMDは、MASTERKEY、FALLOUT、RYZENFALLのBIOSアップデートを通じてファームウェアパッチを提供すると発表しました。また、セキュアプロセッサ(PSP)のファームウェア修正も数週間以内に提供する予定です。同社は、パフォーマンスへの影響はないと主張しています。
チップ設計者は、CHIMERAバグに対する緩和パッチをBIOSアップデートを通じてリリースする予定であると述べた。さらに、「『Promontory』チップセットを設計・製造したサードパーティプロバイダーと協力して、適切な緩和策を講じている」という。
ペーパーマスター氏は、CTS-Labs が特定したセキュリティ問題は、今年 1 月に Google の研究者が特定した脆弱性とは関係がないとも付け加えた。®
