
イスラエルのサイバーセキュリティスタートアップCTS Labsが、AMDのEPYC、Ryzen、Ryzen Pro、Ryzen Mobile CPUラインナップに影響を与える「AMDFlaws」と呼ばれる脆弱性の膨大なリストに関するホワイトペーパーを発表してからわずか1週間が経った。この報告書はサイバーセキュリティアナリストや業界関係者の間でかなりの波紋を巻き起こすことに成功し、彼らの多くは、AMDに脆弱性を通知したわずか1日後に脆弱性を公表し、チップメーカーを完全に盲目にしたテルアビブに本拠を置く同社を激しく非難した。
率直な技術の第一人者で Linux カーネルの作成者であるリーナス・トーバルズ氏のように、セキュリティ勧告を 「ゴミ」 と呼び、調査結果自体に疑問を持ち、 「IT セキュリティの世界は打撃を受けたようだ」 とまで言う人もいます。 新たな安値」 。しかし、評判の高いサイバーセキュリティアナリストのダン・グイド氏のような他の人たちは、彼と彼のチームが欠陥を調査したところ、周囲のあらゆる誇大宣伝や論争とは関係なく、欠陥が非常に現実的であることが分かったと述べた。
AMDは、 「調査結果の方法論とメリットを理解するために」このレポートを調査すると述べた。 今回同社は、CTSが詳述した13件の脆弱性すべてを確認する 声明を発表し 、今後数週間以内にすべての脆弱性に対してパッチを発行すると約束した。同社はさらに、差し迫ったアップデートによるパフォーマンスの低下は予想されていないと付け加えた。
声明全文は、CTS Labsの発見で説明されているハッキングを実行するために必要な難易度とアクセスのレベル を強調しています。 「研究で提起されたすべての問題には、システムへの管理アクセスが必要であることに注意することが重要です。ユーザーはシステムに無制限にアクセスでき、コンピューター上のフォルダーやファイルを削除、作成、変更したり、設定を変更したりする権利を有します 。」 AMDはさらに、不正な管理アクセスを取得できる者は誰でも、CTS Labsが特定した攻撃よりも重大な攻撃を実行できる可能性があると付け加えた。
AMD によると、この問題はファームウェア パッチと BIOS アップデートによって今後 「数か月ではなく」 数週間以内に修正される予定です。同社はまた、これらの問題はいずれも Zen に固有のものではなく、PSP と ASMedia チップセットに関連しているとも述べました。また、これらの欠陥は、過去数か月にわたって大きな混乱を引き起こしたメルトダウンおよびスペクターの脆弱性とは明らかに無関係です。
