AMD komt met oplossing voor Ryzen-beveiligingsfouten
Chipontwikkelaar AMD bevestigt het bestaan van de beveiligingsfouten in de AMD Ryzen-, Ryzen Mobile-, Ryzen Pro- en Epyc-processoren. De kwetsbaarheden vereisen een software-updates, maar vormen geen desastreuze beveiligingsproblemen.
Vorige week publiceerde een tot dan toe onbekend beveiligingsbedrijf CTS Labs een lijst met 13 ernstige beveiligingsfouten in de recente AMD-processoren. Al snel rees het vermoeden dat de hele onthulling georkestreerd werd door het bedrijf om snel geld te verdienen aan AMD-aandelen, maar de bugs blijken dus daadwerkelijk te bestaan.
BIOS-updates en firmwarepatches
Processorontwerper AMD is nu begonnen met het ontwikkelen van BIOS-updates en firmwarepatches om de verschillende kwetsbaarheden in de Ryzen- en Epyc-processoren te verhelpen. In de komende weken plant het bedrijf de updates uit te rollen.
Onderzoekers van CTS Labs onthulde de kwetsbaarheden in een document op de website AMDFlaws. Het beveiligingsbedrijf gaf AMD volgens CNet minder dan 24 uur de tijd om de kwetsbaarheden op te lossen vooraleer het rapport werd gepubliceerd. De standaard procedure voor de openbaarmaking van kwetsbaarheden gaat uit van een perioden van 90 dagen.
Complottheorieën
De geloofwaardigheid van de documenten werd in eerste instantie in twijfel getrokken op internet. Goede beveiligingsbedrijven contacteren de desbetreffende bedrijven en stellen gebruikers niet bloot aan beveiligingsfouten die maanden in beslag nemen om op te lossen.
Op Reddit wordt uitgebreid gediscussieerd over complottheorieën, want Viceroy Research publiceerde kort na het verschijnen van de onthullingen van beveiligingsbedrijf CTS Labs een artikel met als titel ‘AMD – de doodsbrief’ met de boodschap dat de kwetsbaarheden de doodsteek voor AMD betekenen. Een zet die op veel publiciteit kon rekenen.
Kwetsbaarheden
Het Israëlische beveiligingsbureau CTS Labs heeft de kwetsbaarheden in de Ryzen-processoren onderverdeeld in vier categorieën. Trail of Bits voerde een externe analyse uit van de beveiligingsproblemen in de Ryzen-processoren en stelt dat er geen onmiddellijk risico is voor het misbruik van deze kwetsbaarheden.
“Dit soort kwetsbaarheden mag geen beveiligingsonderzoekers verbazen”, stelt Trail of Bits in een blogpost. “Ze zijn het resultaat van eenvoudige programmeerfouten, onduidelijke beveiligingsgrenzen en onvoldoende beveiligingstests.”
Om de beveiligingsfouten in de AMD Ryzen- en Epyc-processoren uit te buiten, heb je beheerderstoegang nodig tot de computer. Hoewel dit geen excuus is voor het bestaan van de beveiligingsproblemen, plaatst het de ernst van de problemen in de juiste context. Met beheerderstoegang tot een systeem kan je feitelijk ook op andere manieren de beveiliging van een computer omzeilen.
Beperkte impact
CTS Labs is een schoolvoorbeeld van waarom beveiligingsanalyses en openbaarmakingen van kwetsbaarheden zorgvuldig moeten worden afgehandeld tussen bedrijven. Maar niets van dit alles verandert het feit dat deze beveiligingsproblemen in de eerste plaats niet mogen bestaan.
Volgens AMD zal het niet vele maanden tijd vergen, zoals CTS Labs beweert, om de beveiligingsproblemen in de processoren te verhelpen. Bovendien blijft de impact van de kwetsbaarheden voor gebruikers eerder beperkt.