不亚于熔断、幽灵？AMD官方回应Zen架构存在四组12个安全漏洞

　　3月14日消息 日前有外媒援引来自以色列安全机构CTS-Labs的爆料称，在AMD Zen架构处理器存在四组12个安全漏洞。值得一提的是，这些危害不亚于熔断、幽灵的安全漏洞涉及Ryzen、EPYC的全线产品！这究竟是怎么回事呢？

　　对此，AMD第一时间发表官方声明称，“我们刚刚收到一家名为CTS-Labs的公司的报告，声称我们的特定处理器产品可能存在安全漏洞。我们正在积极进行调查和分析。这家公司AMD从未听闻，而且不同寻常的是，这家安全机构直接将自己的发现公布给了媒体，却没有给AMD合理的时间调查和解决问题。安全是AMD的首要职责，我们持续努力确保我们客户的安全，应对新的安全威胁。如有后续进展我们会第一时间公告。”

　　可以看出，由于事发突然，特别是这些漏洞发现并没有按照行业惯例提前通知并给予90天的静默期，AMD被打了个措手不及，目前还无法完全证实这些漏洞的真伪。

　　即便是真的存在漏洞，这件事也显得很诡异。

　　国外权威硬件媒体AnandTech在报道此事的时候，也首先提出了一系列质疑：

　　1、CTS-Labs只给了AMD 24小时的时间知晓问题所在，而行业标准都是在漏洞发现后，提前联系涉事公司，并且要等90天才会对外公开，以便修复解决，而且初期不会披露漏洞技术细节。

　　2、在告知AMD和公开之前，CTS-Labs首先联系了一些媒体，向他们通报情况。

　　3、CTS-Labs 2017年才刚刚成立，资质尚浅，这只是他们的第一份公开安全报告，也未公开自己的任何客户。

　　4、CTS-Labs并没有自己的官方网站，公布此次漏洞却专门建立了一个名为AMDFlaws.com的网站，还是2月22日刚刚注册的。

　　5、从网站布局看，很像是已经提前准备了很久，并未考虑AMD的回应。

　　6、CTS-Labs还雇佣了一个公关公司来回应业界和媒体联系，这并非正常安全公司的风格。

　　AnandTech就这些疑问向CTS-Labs发去邮件查询，尚未得到任何回应。

　　很多人可能会和此事将近来闹得沸沸扬扬的Meltdown熔断、Spectre幽灵漏洞相比，但后者是Google等权威安全团体早就确认的，而且第一时间和Intel、AMD、ARM、微软、亚马逊等等业内相关企业都做了联系沟通，共同解决，最后媒体踢爆属于意外曝料，而且当时距离解禁期已经很近了。

　　据了解，这次曝光的漏洞，都是涉及AMD Zen处理器内部的安全协处理器（ARM A5架构模块）和芯片组（祥硕给AMD外包做的），和Zen微架构本身并无任何关系，并非核心级别问题。

　　此外，还有报道称，攻击者如果要利用这些漏洞，都必须提前获取管理员权限，然后才能通过网络安装恶意软件，危害程度并不是最高的，属于二等漏洞。

　　众所周知，AMD的处理器产品在过去一年中可谓是气势如虹，不仅在各个领域中取得了不小的突破，还凭借出色的性能得到了业界和消费者的普遍认可。然而在第二代Ryzen CPU即将发布的关键时刻，却出现了一起如此诡异的“负面事件”，这不得不令人怀疑是否有什么不为人知的故事呢？此事的后续进展，我们也将继续关注。