來(lái)自以色列的安全機(jī)構(gòu)CTS-Labs突然曝出猛料，聲稱(chēng)AMD Zen架構(gòu)處理器存在四組12個(gè)高位安全漏洞，涉及Ryzen、EPYC全線(xiàn)產(chǎn)品。

　　AMD第一時(shí)間對(duì)此發(fā)表了一份官方聲明：

　　“我們剛剛收到一家名為CTS-Labs的公司的報(bào)告，聲稱(chēng)我們的特定處理器產(chǎn)品可能存在安全漏洞。我們正在積極進(jìn)行調(diào)查和分析。這家公司AMD從未聽(tīng)聞，而且不同尋常的是，這家安全機(jī)構(gòu)直接將自己的發(fā)現(xiàn)公布給了媒體，卻沒(méi)有給AMD合理的時(shí)間調(diào)查和解決問(wèn)題。安全是AMD的首要職責(zé)，我們持續(xù)努力確保我們客戶(hù)的安全，應(yīng)對(duì)新的安全威脅。如有后續(xù)進(jìn)展我們會(huì)第一時(shí)間公告。”

　　可以看出，由于事發(fā)突然，特別是這些漏洞發(fā)現(xiàn)并沒(méi)有按照行業(yè)慣例提前通知并給予90天的靜默期，AMD被打了個(gè)措手不及，目前還無(wú)法完全證實(shí)這些漏洞的真?zhèn)巍?/p>

　　即便是真的存在漏洞，這件事也顯得很詭異。

　　國(guó)外權(quán)威硬件媒體AnandTech在報(bào)道此事的時(shí)候，也首先提出了一系列質(zhì)疑：

　　1、CTS-Labs只給了AMD 24小時(shí)的時(shí)間知曉問(wèn)題所在，而行業(yè)標(biāo)準(zhǔn)都是在漏洞發(fā)現(xiàn)后，提前聯(lián)系涉事公司，并且要等90天才會(huì)對(duì)外公開(kāi)，以便修復(fù)解決，而且初期不會(huì)披露漏洞技術(shù)細(xì)節(jié)。

　　2、在告知AMD和公開(kāi)之前，CTS-Labs首先聯(lián)系了一些媒體，向他們通報(bào)情況。

　　3、CTS-Labs 2017年才剛剛成立，資質(zhì)尚淺，這只是他們的第一份公開(kāi)安全報(bào)告，也未公開(kāi)自己的任何客戶(hù)。

　　4、CTS-Labs并沒(méi)有自己的官方網(wǎng)站，公布此次漏洞卻專(zhuān)門(mén)建立了一個(gè)名為AMDFlaws.com的網(wǎng)站，還是2月22日剛剛注冊(cè)的。

　　5、從網(wǎng)站布局看，很像是已經(jīng)提前準(zhǔn)備了很久，并未考慮AMD的回應(yīng)。

　　6、CTS-Labs還雇傭了一個(gè)公關(guān)公司來(lái)回應(yīng)業(yè)界和媒體聯(lián)系，這并非正常安全公司的風(fēng)格。

　　AnandTech就這些疑問(wèn)向CTS-Labs發(fā)去郵件查詢(xún)，尚未得到任何回應(yīng)。

　　很多人可能會(huì)和此事將近來(lái)鬧得沸沸揚(yáng)揚(yáng)的Meltdown熔斷、Spectre幽靈漏洞相比，但后者是Google等權(quán)威安全團(tuán)體早就確認(rèn)的，而且第一時(shí)間和Intel、AMD、ARM、微軟、亞馬遜等等業(yè)內(nèi)相關(guān)企業(yè)都做了聯(lián)系溝通，共同解決，最后媒體踢爆屬于意外曝料，而且當(dāng)時(shí)距離解禁期已經(jīng)很近了。

　　另外值得注意的是，這次曝光的漏洞，都是涉及AMD Zen處理器內(nèi)部的安全協(xié)處理器(ARM A5架構(gòu)模塊)和芯片組(祥碩給AMD外包做的)，和Zen微架構(gòu)本身并無(wú)任何關(guān)系，并非核心級(jí)別問(wèn)題。

　　還有媒體報(bào)道指出，攻擊者如果要利用這些漏洞，都必須提前獲取管理員權(quán)限，然后才能通過(guò)網(wǎng)絡(luò)安裝惡意軟件，危害程度并不是最高的，屬于二等漏洞。

　　這一年來(lái)AMD處理器可以說(shuō)是氣勢(shì)如虹，不斷在各個(gè)領(lǐng)域取得突飛猛進(jìn)，得到了行業(yè)和用戶(hù)的普遍認(rèn)可。眼下第二代Ryzen CPU也即將發(fā)布，卻突然出現(xiàn)這么一件很詭異的漏洞事件，背后有什么不為人知的故事?確實(shí)值得玩味。