AMD Potvrđuje Postojanje Ranljivosti U Mikroprogramima
Uvod
Nedavna izjava kompanije AMD dodatno je rasvijetlila situaciju vezanu za ranjivost mikroprograma koja je navodno provalila iz proizvođača računala, Asus. Ovaj urednički pregled istražuje nedavne događaje i implikacije vezane uz otkrivenu ranljivost.
Otkrivanje Ranljivosti
Sigurnosni istraživač, Tavis Ormandy, otkrio je BETA BIOS zakrpu za ranjivost “verifikacije potpisa mikroprograma” koja, čini se, pogađa Asusove matične ploče za gaming. Ovo je bilo neobično, budući da AMD do tog trenutka nije komentirao postojanje slične ranljivosti.
Kako je Ormandy primijetio: “Izgleda da je OEM pustio zakrpu za veliku nadolazeću ranjivost CPU-a, tj. ‘Ranljivosti verifikacije potpisa mikroprograma AMD-a.'” Također je naglasio da “nisam oduševljen time. Zakrpa trenutno nije dostupna u linux-firmware, tako da je ovo jedina javno dostupna zakrpa.”
Što je Mikrode?
Mikroprogram se može opisati kao skup sitnih instrukcija pohranjenih unutar procesora koje mu govore kako obavljati specifične zadatke. On radi u pozadini, pomažući procesoru da razumije i izvrši složenije naredbe.
Odgovor Asus-a i AMD-a
Nakon što su se postavila pitanja, Asus je izmijenio svoje napomene, uklonivši spominjanje AMD-ove mikroprogramske probleme. U međuvremenu, AMD je potvrdio da su informacije iz Asusa točne: “AMD je svjestan novoprijavljene ranjivosti procesora. Izvršenje napada zahtijeva lokalni pristup s administratorskim pravima na sustavu te razvoj i izvršenje zlonamjernog mikroprograma.”
Kompanija je također naglasila da bi zloupotreba ove greške zahtijevala da žrtve budu prevarene da poduzmu određene radnje. “AMD je pružio mjere ublažavanja i aktivno radi s partnerima i kupcima na njihovoj primjeni,” dodali su. “AMD preporučuje korisnicima da se nastave pridržavati industrijskih standarda sigurnosne prakse i da rade samo s pouzdanim dobavljačima prilikom instalacije novog koda na svoje sustave.”
Što dalje?
Do trenutka pisanja ovog članka, nije bilo informacija o modelima procesora koji su pogođeni ovom ranjivošću. AMD planira objaviti sigurnosnu obavijest uskoro, koja će ponuditi dodatne smjernice i opcije ublažavanja.
Zaključak
Ova situacija ističe važnost proaktivnog pristupa sigurnosti u svijetu tehnologije. S obzirom na sve veću složenost procesorskih architektura, važno je pratiti ažuriranja i primjenjivati sigurnosne mjere kako bismo zaštitili svoje sustave. Budite sigurni da ostanete informirani o nadolazećim sigurnosnim obavijestima od AMD-a i drugih proizvođača.
