Severe Security Advisory on AMD Processors

Security-all

amdflaws.com

Valaki hallott már ezekről:

RYZENFALL
Masterkey
Fallout
Chimera

  • 2444 megtekintés

( toMpEr | 2018. 03. 13., k – 22:19 )

Azt érdemes hozzátenni, hogy mindegyik sebezhetőség driver telepítési jogot vagy fizikai hozzáférést igényel a számítógéphez/firmware-hez.

( Jason v | 2018. 03. 13., k – 22:34 )

Ez a CTS Labs eléggé tele van ruszki nevekkel.
A többi procihoz is csináltak már ilyen *flaws.com weboldalt?

Round 2: https://imgur.com/OkWlIxA
Vagy ennyire fosósak izraeli barátaink, vagy kamu a cég.

Round 3: https://twitter.com/GossiTheDog/status/973610507100983296
Na, jutunk már valahova :)

Round 4: https://twitter.com/ManetherenRand/status/973667143228313601

Extra: https://twitter.com/cynicalsecurity/status/973595697902706688

( XMI | 2018. 03. 14., sze – 00:57 )

Viszonylag sokmindenki (trivialisan) az Intelt sejti az emlitett security "researcher" ceg mogott.
En - bar eszembe nem jutna, hogy meg akarjam vedeni oket - nem ugranek ennyire gyorsan a konkluziora.

Mivel a hibak (az USB-t leszamitva) mind az AMD PSP processzorhoz es firmware-hez kothetoek, ez fel fogja erositeni az Intel ME es altalaban minden ilyen korlatlan-privilegiumszintu, kikapcsolhatatlan, zart secure enclave-k elleni felhaborodast is.

Az Intel ME-nek is kijutott mar a hasonlo kaliberu hibakbol, ezt szerintem sokan nem felejtettek el, ugyhogy "altalanos megoldast" fognak kovetelni minden gyartotol. Ebbol az Intel sem fog jol kijonni.
---
Régóta vágyok én, az androidok mezonkincsére már!

Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports. Any other organizations named in this website have not confirmed the accuracy or determined the adequacy of its contents.

(Kiemeles tolem, idezet innen: https://amdflaws.com/disclaimer.html )

1., "Valaki" altal fizetett kutatas, a 'sebezhetosegek' utan, elismerten.
2., Nem volt responsible disclosure, vagyis egybol publikaltak, ergo ez volt a cel, a publicitas.
3., A "kutato" ceget 2017-ben alapitottak.
4., Az osszes "hiba" nagyjabol bullshit, mivel "szetbaszhatod a gepet, ha amugyis van admin jogod es/vagy fizikai hozzaferesed" kaliberu.
5., Egy tonna FUD-dal es "sejtetessel" korberakva.

Ahogy Linus Torvalds irta, ezek nem biztonsagi hibak, ez reszvenyarfolyam-manipulacio. A hulye IT bulvar meg raugrik es harsogja, ellenorzes nelkul.

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

En csak annyit mondok, hogy az 1-es pontban az a "Valaki" nem feltetlenul az Intel, mint ahogy kb az osszes cikk alatti forumban sokan reflexbol ravagtak.

De a pontokkal termeszetesen egyetertek. Ez kb a legalja ami ebben a mufajban elkovetheto.
---
Régóta vágyok én, az androidok mezonkincsére már!

Amit a masik hozzaszolasomban linkeltem videot, abban feszegettek, hogy a "CTS-Labs-t" pont akkoriban "alapitottak" amikor az Intellel a Meltdown reszleteit megosztottak a Google kutatoi...

Nyilvan vannak veletlenek. Vagy nem. Az Intelnel amugyis most mar jelentos "tortenete" kezd lenni a reszvenymanipulacioknak a sebezhetosegek kapcsan, lasd hogy a CEO eladott egy rakas reszvenyt kozvetlenul a Meltdown/Spectre nyilvanossagra kerulese elott...

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-