Gadgets

Les chercheurs en sécurité de trouver des failles dans AMD, puces, mais soulever des sourcils, se sont précipités à la divulgation

Une nouvelle découverte de vulnérabilités dans AMD puces est pas de faire des vagues en raison de l’ampleur des défauts, mais plutôt le précipité, prêts pour le marché de la manière dont elles ont été communiqués par les chercheurs. Quand était la dernière fois qu’un bug a son propre professionnellement coup de la vidéo et de PR rep, mais la société concernée a été averti uniquement 24 heures à l’avance? Les défauts peuvent être réel, mais le précédent est ici un peu recommandables.

Les failles en question ont été découverts par les CTS Laboratoires, de recherche de cybersécurité tenue en Israël, et compte tenu d’un ensemble de noms évocateurs: Ryzenfall, Masterkey, les Retombées et les Chimères, avec les logos associés, un site web dédié et un livre blanc décrivant.

Pour l’instant, donc normal: bugs majeurs comme Heartbleed et de cours d’Effondrement et le Spectre obtenu les noms et les logos, trop.

La différence est que dans ces cas, les parties concernées, telles que Intel, OpenSSL équipe et AMD ont discrètement averti bien à l’avance. C’est le concept de “responsable de la divulgation, de” et donne aux développeurs la première fissure à la fixation d’un problème avant qu’il ne devienne publique.

Il y a débat légitime sur le degré de contrôle que les grandes entreprises doivent exercer sur la publicité de leurs propres défauts, mais, en général, dans l’intérêt de la protection des utilisateurs de la convention tend à être respectées. Dans ce cas, cependant, la CTS Laboratoires équipe est passée leurs défauts sur AMD entièrement formé et avec peu d’avertissement.

Les failles découvertes par l’équipe sont réels, mais ils ont besoin de privilèges d’administrateur pour exécuter une cascade d’actions, ce qui signifie profitant d’eux exige beaucoup de l’accès au système cible. La recherche décrit certains que des portes dérobées délibérément inclus dans les puces en compagnie Taïwanaise contrôleur asmedia, qui travaille en partenariat avec de nombreux fabricants de produire des composants.

L’exigence d’accès rend ces beaucoup plus limité que les goûts de la fusion du coeur et le Spectre, qui exploitait des problèmes à la gestion de la mémoire et de l’architecture. Ils sont certes grave, mais la manière dont ils ont été diffusées a suscité la suspicion autour du web.

Pourquoi la extrêmement non-technique vidéo tourné sur un écran vert avec un stock de milieux composés dans l’? Pourquoi les tactiques de peur d’appel d’AMD utilisation dans l’armée? Pourquoi ne pas les bugs ont les numéros CVE, le standard de la méthode de suivi pour presque tous les problèmes sérieux? Pourquoi était-AMD donné si peu de temps pour répondre? Pourquoi pas, si le FAQ suggère, certains des correctifs pourraient être créés en quelques mois, au moins retarder la publication jusqu’à ce qu’ils étaient à sa disposition? Et c’est quoi la divulgation que les CTS “peut avoir, directement ou indirectement, un intérêt économique à la performance” de la DMLA? Ce n’est pas une commune de la divulgation dans des situations de ce genre.

(J’ai contacté le PR représentant répertoriés pour les défauts [!] pour obtenir des réponses à certaines de ces questions.)

Il est difficile de secouer l’idée qu’il y a une sorte de rancune contre AMD à jouer. Cela n’en fait pas des défauts tout aussi graves, mais il laisse un mauvais goût dans la bouche.

AMD a publié une déclaration disant que “Nous sommes en train d’étudier ce rapport, dont nous venons de recevoir, de comprendre la méthodologie et le mérite des résultats.” Difficile de faire beaucoup d’autres choses dans une journée.

Comme toujours avec ces gros bugs, la vraie mesure de leur atteinte, de façon grave ce qu’ils sont vraiment, si les utilisateurs ou les entreprises seront touchées et ce qu’ils peuvent faire pour prévenir ce sont toutes les informations à venir en tant qu’experts des pores plus et vérifier les données.

Image en vedette: Fritzchens Fritz/Flickr

About the author

Cyriac

Je suis Zeh Cyriac , fondateur et chef de la direction de la société informatique DROP Corporation Inc. et blogueur indépendant aux États-Unis, avec une passion pour l'Entrepreneuriat en ligne, le marketing de contenu et toutes les choses qui tournent au tour du digital et ’informatique .

Add Comment

Click here to post a comment

Newsletter

Les dernières nouvelles du Web, de la high-tech et de l'innovation numérique tous les matins à l'heure du petit déjeuner.

Vous avez parfaitement souscrit ! Consultez vos mails pour confirmer l'inscription .