Ibinunyag ng AMD ang 31 Bagong Mga Kahinaan sa CPU, Nag-isyu ng Patch Guidance
(Kredito ng larawan: Fritzchens Fritz)
Ibinunyag ng AMD ang 31 bagong kahinaan sa CPU sa isang pag-update noong Enero, na sumasaklaw sa mga Ryzen chip nito para sa mga consumer at sa mga processor ng data center ng EPYC. Kasama rin sa pag-update ng kahinaan ang isang listahan ng mga bersyon ng AGESA, na may mga pagpapagaan para sa mga apektadong processor. Inihayag ng AMD ang mga kahinaan sa isang pinag-ugnay na pagsisiwalat sa ilang mga mananaliksik, kabilang ang mga koponan mula sa Google, Apple at Oracle, na nagbigay ng oras sa kumpanya upang bumuo ng mga pagpapagaan bago ang mga pampublikong listahan.
Inilista ng AMD ang iba’t ibang mga rebisyon ng AGESA na inilabas nito sa mga OEM nito upang i-patch ang mga kahinaan (ginagamit ang AGESA code upang bumuo ng BIOS/UEFI code). Gayunpaman, ang pagkakaroon ng bagong BIOS patch na may bagong AGESA code ay mag-iiba ayon sa vendor. Nangangahulugan iyon na kailangan mong suriin sa iyong motherboard o system vendor upang makita kung nag-post ito ng mga bagong rebisyon ng BIOS na may tamang AGESA code.
Sinasabi sa amin ng AMD na kadalasang naglalabas ito ng mga pagsisiwalat ng kahinaan nito dalawang beses sa isang taon, noong Mayo at Nobyembre, ngunit piniling ilabas ang ilan noong Enero dahil sa medyo malaking bilang ng mga bagong kahinaan at ang timing ng mga pagpapagaan. Hindi pa malinaw kung magkakaroon ng mga parusa sa pagganap tulad ng nakita natin sa iba pang mga pagpapagaan, tulad ng Spectre at Meltdown.
Gaya ng nakita natin minsan sa mga mas lumang system, maaaring hindi na-update ang ilan. Lumalabas din na ang ilang mga naapektuhang modelo ay wala pang mga pagpapagaan, ngunit sinusubaybayan namin ang AMD at ia-update namin ito kapag mayroon kaming higit pang mga detalye.
(Kredito ng larawan: AMD)
Kasama sa mga kahinaan ang tatlong bagong variant para sa consumer-geared na Ryzen desktop PC, HEDT, Pro, at mga processor ng Mobile. Ang isa sa mga kahinaan ay nakalista bilang mataas na kalubhaan, habang ang dalawa pa ay niraranggo bilang Katamtaman o Mababang kalubhaan. Ang mga kahinaan na ito ay maaaring samantalahin sa pamamagitan ng alinman sa BIOS hacks o isang pag-atake sa AMD Secure Processor (ASP) bootloader.
Ang mga kahinaan ay sumasaklaw sa Ryzen 2000-series na Pinnacle Ridge desktop chips, kasama ang 2000- at 5000-series na mga linya ng produkto ng APU na may kasamang integrated graphics (Raven Ridge, Cezanne). Bilang karagdagan, ang Threadripper 2000- at 3000-series na HEDT at Pro processor ng AMD ay naapektuhan din, kasama ang maraming Ryzen 2000-, 3000-, 5000-, 6000- at Athlon 3000-series na mga mobile processor.
(Kredito ng larawan: AMD)
Ang AMD ay naglista din ng 28 mga kahinaan para sa mga EPYC processor nito, apat sa mga ito ay mataas ang kalubhaan. Tatlo sa mga variant na may mataas na kalubhaan ang nagbibigay-daan sa arbitraryong pagpapatupad ng code sa pamamagitan ng iba’t ibang vector ng pag-atake, habang pinapayagan ng isa ang pagsusulat ng data sa ilang partikular na rehiyon na maaaring humantong sa pagkawala ng integridad at availability ng data. Nahukay din ng mga mananaliksik ang 15 iba pang mga kahinaan na niraranggo bilang katamtamang kalubhaan at siyam na kahinaan na mababa ang kalubhaan.
Ang mga chip ng AMD ay matagal nang kilala sa pagkakaroon ng mas kaunting mga kilalang kahinaan kaysa sa mga modelo ng Intel. Gayunpaman, mahirap tiyakin kung ang unang limitadong mga pagtuklas sa mga processor ng AMD ay dahil sa isang diskarteng pang-seguridad sa pinatigas na disenyo ng processor, o kung ang mga mananaliksik at umaatake ay nakatuon lamang sa mga processor ng Intel dahil sa kanilang pangunahing bahagi sa merkado: Ang mga umaatake ay halos palaging nakatuon sa pinakamalawak na cross-section na posible.
Dahil dito, ang kamakailang tagumpay ng AMD sa pag-agaw ng bahagi ng merkado mula sa Intel, lalo na sa merkado ng data center na nakatuon sa seguridad, ay makakahanap ng mga mananaliksik na mas ibinaling ang kanilang mga mata sa mga arkitektura ng AMD sa paghahanap ng mga potensyal na puwang sa seguridad. Ang AMD ay nagkaroon din ng ilang iba pang mga bagong pagsisiwalat ng kahinaan sa kamakailang nakaraan, kabilang ang isang Meltdown-esque na variant na nangangailangan ng software re-coding, kasama ng Hertzbleed at Take A Way.
Sinusubaybayan namin ang AMD tungkol sa ilan sa mga listahan, dahil lumilitaw na ang ilang mga processor ay wala pang mga pagpapagaan. Gayundin, masigasig kaming matuto nang higit pa tungkol sa anumang posibleng mga parusa sa pagganap.