AMD芯片曝光13个安全 漏洞

　　新浪数码讯 3月14日 信息，以色列安全公司CTS-Labs探究发现，AMD Zen CPU架构存在多达13个高位安全 漏洞，危害程度一点不亚于此前曝光的熔断和幽灵 漏洞 。

　　周二的布告没有 泄漏任何技术细节，但 形容了在AMD芯片中存在的13个“高危”安全 漏洞 。显然，该公司提前一天就 告诉了AMD公司 。

　　报告 形容了四个类别的 漏洞，每个 漏洞都有几个不同之处 。而且此次报告的 漏洞都需求 获得治理员权限 威力被发现，这些 漏洞 波及AMD Ryzen桌面 解决器、Ryzen Pro企业 解决器、Ryzen移动 解决器、EPYC数据 核心 解决器，不同 漏洞对应的平台不同，其中21种环境下已经被 顺利利用，还有11个存在被利用的可能 。而且CTS-Labs 声称没有任何缓解措施 。

　　这四个 漏洞分别是：

　　Fallout

　　 突击对象是服务器级的EPYC， 突击者 可以读取和写入受 掩护的内存区域， 可以 买通主机和 虚构机 。

　　Ryzenfall

　　将影响EPYC服务器的 漏洞同意 突击者对受 掩护的内存区域进行读取和写入操作，这将可能被用来偷取由Windows Credential Guard 掩护机制 掩护的证书 。

　　MASTERKEY

　　同意在安全 解决器内安装 长久的 歹意软件，在内核模式下运行治理权限 。它要求 可以用 歹意软件更新来再一次启动主板BIOS 。这通常需求对一个框进行治理员级别或物理 拜访，然而CTS-Labs认为这 可以通过命令行有用程序进行远程操作，并 存在适当的权限 。

　　Chimera

　　针对的不是 解决器，而是配套的300系列芯片组 。探究者发现， 可以通过网络向芯片组植入按键记录器(Keylogger)，进而直通主板BIOS，由于它就 保留在与芯片组相连的一个8针串行ROM中 。

　　AMD发言人回应说：“我们正在 踊跃 考查和 综合白皮书中指出的芯片 漏洞问题，由于这家安全公司过去并没有与AMD的合作 经历，我们认为它们 解决这件 事件的 模式不 合适，即没有给AMD 正当的 工夫去 考查探究它们的发现之前就向媒体发布了它们发现的 漏洞 。”(于泽)