AMD enquête sur les failles de sécurité des puces après moins de 24 heures de préavis

AMD enquête sur un rapport affirmant que plusieurs processeurs de la société sont vulnérables à plus d'une douzaine de failles de sécurité.

Le fabricant de puces a dit dans un rapport Mardi, l'entreprise « enquête et analyse activement » les résultats de CTS Labs, une start-up de cybersécurité largement inconnue basée à Tel Aviv et fondée l'année dernière.

Quelques heures plus tôt, la startup avait publié un site Web, un document de recherche et une vidéo décrivant 13 vulnérabilités, qu'elle avait baptisées Ryzenfall, Master Key, Fallout et Chimera, qui pourraient permettre aux attaquants d'obtenir des données sensibles des processeurs Ryzen et EPYC d'AMD, utilisés sur des millions de dispositifs.

Les détails des vulnérabilités n’ont pas été spécifiés en détail dans le livre blanc, ce qui a conduit de nombreuses personnes à les aborder avec prudence et scepticisme.

Ce que l'on sait, c'est que les failles ne sont pas faciles à exploiter: un attaquant doit d'abord obtenir des privilèges administratifs, qui peuvent être obtenus à l'aide d'un logiciel malveillant pour élever les privilèges d'un utilisateur connecté. Ce niveau d'accès signifie qu'une machine est déjà compromise.

Site sœur CNET a le récapitulatif complet de chaque ensemble de vulnérabilités.

Mais la découverte et la publication de ces failles ont suscité la colère de nombreux noms de premier plan de la communauté de la sécurité en raison de la manière dont les chercheurs ont découvert et divulgué les failles.

Les chercheurs ont donné à AMD moins de 24 heures pour examiner les vulnérabilités et répondre avant de publier leur rapport. Dans presque toutes les divulgations responsables de vulnérabilités, les entreprises disposent d'au moins 90 jours pour corriger une faille, délai qui peut être prolongé, si le découvreur l'accepte, si certaines conditions sont remplies.

Dans le cas de Meltdown et Spectre, l'autre série de vulnérabilités de puces la plus récente ayant affecté Intel, ARM et certaines puces AMD, les chercheurs ont donné aux fabricants plus de six mois pour publier des correctifs et des correctifs.

AMD a jeté de l'ombre sur l'entreprise, affirmant qu'il était "inhabituel qu'une entreprise de sécurité publie ses recherches au presse sans accorder à l’entreprise un délai raisonnable pour enquêter et répondre à ses résultats."

Quelques heures après la première publication de l'étude, le chercheur en sécurité Dan Guido a confirmé que les bugs étaient réels, après que l'équipe de recherche eut je l'ai contacté revoir leur travail

"Indépendamment du battage médiatique autour de la version, les bugs sont réels, décrits avec précision dans leur rapport technique (qui n'est pas public, autant que je sache), et leur code d'exploitation fonctionne", a-t-il déclaré. dans un tweet.

Il a dit ZDNet qu'il estime qu'il est jusqu'à présent "le seul à avoir vu" les détails des vulnérabilités.

Jusqu'à peu de temps avant la publication de cet article, il n'était pas clair si les vulnérabilités étaient réelles.

Les résultats ont tenu les chercheurs en sécurité sur le qui-vive toute la journée. Un professionnel de la sécurité m'a dit que la manière dont ce rapport a été publié n'a fait que rendre les chercheurs méfiants à l'égard de l'entreprise, de ses conclusions, mais aussi de ses motivations.

Reddit est passé en mode « homme du complot », appelant la légitimité de l'entreprise en question.

Les remarques de Guido donnent du crédit à la validité de la recherche, mais la manière dont la société de recherche israélienne a abordé la divulgation restera dans les mémoires comme une leçon sur la manière de ne pas publier de recherches sur la sécurité.