銳龍墜落！AMD處理器被曝光存在13個硬體漏洞

英特爾Meltdown漏洞尚未塵埃落定，這邊AMD也無法淡定了，因為剛剛有來自以色列的安全公司CTS-Labs一次性曝光了13個安全漏洞，全部與銳龍處理器及晶元組相關。

13個漏洞被分為4類，分別冠以RyzenFall銳龍墜落、MasterKey萬能鑰匙、Fallout輻射和Chimera幻覺的代號，涉及從EPYC伺服器平台到桌面、移動處理器以及相關主板晶元組，幾乎是一鍋端。

影響所有AMD平台的MasterKey萬能鑰匙漏洞涉及安全引導功能。攻擊者可利用它繞過各種殺毒軟體的檢測在晶元內部安裝惡意軟體，從而掌握對被攻擊電腦的完全訪問許可權，包括內存、外設和硬碟當中的各種數據。

RyzenFall銳龍墜落漏洞允許惡意代碼完全控制AMD安全處理器，可以和MasterKey萬能鑰匙漏洞共同使用，竊取網路證書實現在企業內網的傳播。

Fallout輻射漏洞隻影響EPYC伺服器處理器，擁有類似銳龍墜落的攻擊效果。而Chimera幻覺漏洞則影響桌面和移動版銳龍平台，主要是由台灣ASMedia提供的配套主板晶元組（包含USB/SATA/PCIE控制器）引發，其中既有固件級漏洞，也有硬體級漏洞。

CTS-Labs還批評說ASMedia產品的一些漏洞已經存在6年以上，始終未被重視。

與英特爾知曉Meltdown漏洞到漏洞被公開長達200天不同，AMD這次被CTS-Labs曝光的大量安全漏洞只留給AMD二十四小時應對時間就被公開。不過CTS-Labs並沒有披露攻擊的詳細手段和代碼，所以外界目前既不能驗證這些漏洞的存在，也暫時不必擔心因漏洞擴散造成的爆發影響。

有安全領域專家認為，AMD可能需要「數月」的時間才能完成對漏洞的修復，而其中有些漏洞是無法通過固件升級解決的，恐唯有硬體召回才能完成徹底修補。當然對於普通家庭用戶來說，被針對性攻擊以及數據泄漏的風險相對還是比較小的，只需觀察修復補丁釋出後對性能影響再做是否安裝的決定。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！