AMD đã công nhận 13 lỗ hổng nghiêm trọng và các Backdoor có thể khai thác được trong bộ xử lý Ryzen và EPYC của CTS Labs. Công ty hứa sẽ tung ra bản vá lỗi cho hàng triệu thiết bị bị ảnh hưởng trong vài tuần tới.

Theo các nhà nghiên cứu CTS-Labs, các lỗ hổng nghiêm trọng ( RyzenFall, MasterKey, Fallout và Chimera ) ảnh hưởng đến bộ xử lý bảo mật nền tảng (PSP) của AMD có thể cho phép kẻ tấn công truy cập vào các dữ liệu nhạy cảm, cài đặt phần mềm độc hại bên trong chip và có quyền truy cập vào các phần mềm bảo mật trong hệ thống.

Khai thác lỗ hổng AMD Đòi hỏi quyền truy cập của quản trị viên, dựa vào lỗ hổng này kẻ tấn công có thể đánh bại các tính năng bảo mật quan trọng như Windows Credential Guard, TPMs. ADM cũng tuyên bố rằng bản vá lỗi và bản cập nhật cho những sai sót quan trọng này sẽ không ảnh hưởng đến hiệu năng hoạt động của các thiết bị.

Bàn lận về trách nghiệm công khai

Trước vụ việc CTS Labs đã công bố đến công chúng về các lỗ hổng quan trọng này trong vòng chưa đầy 24 giờ sau khi thông báo cho AMD đã tạo ra một cuộc tranh luận lớn đòi hỏi CTS Labs phải trả lời cho hành vi của mình.

Phía CTS Labs cũng đưa ra ý kiến của mình rằng họ không tiết lộ bất cứ thông tin kỹ thuật nào về những sai sót mà lỗ hổng trong AMD bằng kì hình thức nào.

Theo Ilia Luk-Zilberman, CTO của CTS-Labs, quá trình hiện tại của ‘Bàn luận trách nhiệm’ có hai vấn đề đáng kể:

Nhà nghiên cứu đưa ra giới hạn 30/45/90 ngày cho nhà cung cấp bị ảnh hưởng. Tuy nhiên, rất hiếm khi nhà cung cấp thông báo cho khách hàng về các lỗ hổng bảo mật chưa được vá trong giai đoạn này, khiến họ không ý thức được những rủi ro tiềm ẩn.

Nếu các nhà cung cấp không phản hồi hoặc không vá lỗ hổng trong khoảng thời gian tiết lộ 90 ngày này, các nhà nghiên cứu có thể công khai với các chi tiết kỹ thuật đầy đủ về các sai sót có thể xảy ra với người dùng cuối cùng.

Sau tranh luận Zilberman hiểu được nhu cầu của cả hai bên và đã đề xuất một quá trình tiết lộ có trách nhiệm:

+ Thông báo cho khách hàng bị ảnh hưởng về tác động của lổ hổng

+ Đảm bảo áp lực của công chúng đối với nhà cung cấp để có được bản vá lỗi một cách sớm nhất.

+ Đề xuất chuyên gia bên thứ 3 xác minh sai sót

+ Không bao giờ đặt khách hàng vào nguy cơ an ninh

CTS Labs cũng tuyên bố rằng AMD có thể mất vài tháng để phát hành bản vá cho hầu hết các lỗ hổng đang tồn tại. Trong đó có một số phần mềm sẽ bị thay đổi mà không thể cố định.

Dịch vụ Pentest tổng thể hệ thống giúp rà soát lỗ hổng Website, network hiệu quả, giúp nhà quản trị hiểu sâu về hệ thống an ninh mạng của mình, phát hiện những lỗ hổng đang tồn tại và có những biện pháp phòng tránh tấn công.