Март 26, 2018 4:35 | Bitdefender Россия |

Полупроводниковый гигант AMD заявил сегодня, что злоумышленники вряд ли будут злоупотреблять уязвимостями, недавно обнаруженными в продуктах: им нужен административный доступ, и такой доступ позволит гораздо более эффективные атаки, чем эксплойты.

«Все вопросы, поднятые в исследовании, требуют административного доступа к системе, который фактически предоставляет пользователю неограниченный доступ к системе и право удалять, создавать или изменять любую из папок или файлов на компьютере, а также изменить любые настройки », — говорится в пресс-релизе AMD . «Любой злоумышленник, получивший несанкционированный доступ к административным ресурсам, имел бы широкий спектр атак, находящихся в их распоряжении, далеко за пределами эксплойтов, определенных в этом исследовании».

Однако, как отмечают многие исследователи, тривиально получить права администратора на корпоративной (или в другом случае многопользовательской) настройке сервера, что делает оправдание AMD недействительным.

Спор о серьезности уязвимостей возникает после нескольких дней споров о том, как они были раскрыты. 12 марта исследователи и CTS Labs, ведущей независимой лаборатории в Кембридже,  раскрыли 13 критических уязвимостей, влияющих на некоторые процессоры AMD, что дало поставщику время для правильной оценки ситуации, не говоря уже о создании исправления. Новости о том, что CTS Labs раскрыли свои результаты всего за 24 часа после уведомления AMD о недостатках, вызвали огромный резонанс у сообщества кибербезопасности.

Зачистка критических дефектов оборудования может занять недели, даже месяцы, учитывая нагрузку на обеспечение качества. С этой точки зрения, разбросанное раскрытие информации CTA Labs можно считать безрассудным, мягко говоря.

Но технический директор CTS Labs Ярон Лук-Зильберман приходит к защите фирмы с собственным предложением: рассмотреть поправки к текущей программе Responsible Disclosure.


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.