AMD承认最近披露的处理器缺陷，补丁即将发布

据CTS实验室的研究人员称，影响AMD平台安全处理器（PSP）的关键漏洞（RyzenFall、MasterKey、Fallout和Chimera）可能允许攻击者访问敏感数据，在芯片内安装持久性恶意软件，并获得对受损系统的完全访问权。
尽管利用AMD漏洞需要管理员访问权限，但它可以帮助攻击者击败Windows Credential Guard、TPMs和虚拟化等重要的安全功能，这些功能甚至可以阻止管理员或root帐户访问敏感数据。

在AMD周二发布的一份新闻稿中，该公司淡化了这一威胁，称“任何获得未经授权的管理访问权限的攻击者都将拥有各种各样的攻击，远远超出了本研究中确定的漏洞”。

负责任的披露争议

信息安全专家和记者对CTS实验室在通知AMD后不到24小时内向公众披露漏洞细节的方式提出质疑，从而将CTS实验室卷入了争议。

然而，值得注意的是，CTS实验室的研究人员没有向公众披露任何可能以任何方式损害AMD用户的缺陷的技术信息。
CTS实验室首席技术官伊利亚·卢克·齐尔伯曼（Ilia Luk Zilberman）表示，目前的“负责任披露”流程存在两个重大问题：

1. 如果研究人员给受影响的供应商30/45/90天的期限，供应商在这段时间内通知客户未修补的安全漏洞，让他们不知道潜在风险的情况非常罕见。
2. 如果供应商在这90天的披露期内没有回应或修补漏洞，研究人员可以自豪地选择公开缺陷的全部技术细节，最终将他们的客户置于风险之中。

齐伯曼明白这两个步骤的必要性，但以他披露“AMD缺陷”的风格，该公司提出了另一种“负责任的披露”流程，即：

• 将影响告知受影响的客户，
• 确保公众对供应商施加压力，要求其尽快获得补丁，
• 让第三方专家验证缺陷，以及
• 同时，不要让客户处于风险之中。

“我认为更好的方法是在第0天通知公众存在漏洞，以及影响是什么。同时通知公众和供应商。除非已经修复，否则永远不要披露实际的技术细节。从一开始就对供应商施加全部公众压力，但决不让客户面临风险。”齐伯曼说。

无论如何，CTS实验室还声称，AMD可能需要几个月的时间来发布大部分问题的补丁，其中一些问题无法修复。