Полупроводниковый гигант AMD заявил сегодня, что злоумышленники вряд ли будут злоупотреблять уязвимостями, недавно обнаруженными в продуктах: им нужен административный доступ, и такой доступ позволит гораздо более эффективные атаки, чем эксплойты.
«Все вопросы, поднятые в исследовании, требуют административного доступа к системе, который фактически предоставляет пользователю неограниченный доступ к системе и право удалять, создавать или изменять любую из папок или файлов на компьютере, а также изменить любые настройки », — говорится в AMD . «Любой злоумышленник, получивший несанкционированный доступ к административным ресурсам, имел бы широкий спектр атак, находящихся в их распоряжении, далеко за пределами эксплойтов, определенных в этом исследовании».
Однако, как отмечают многие исследователи, тривиально получить права администратора на корпоративной (или в другом случае многопользовательской) настройке сервера, что делает оправдание AMD недействительным.
Спор о серьезности уязвимостей возникает после нескольких дней споров о том, как они были раскрыты. 12 марта исследователи и CTS Labs, ведущей независимой лаборатории в Кембридже, раскрыли 13 критических уязвимостей, влияющих на некоторые процессоры AMD, что дало поставщику время для правильной оценки ситуации, не говоря уже о создании исправления. Новости о том, что CTS Labs раскрыли свои результаты всего за 24 часа после уведомления AMD о недостатках, вызвали огромный резонанс у сообщества кибербезопасности.
Зачистка критических дефектов оборудования может занять недели, даже месяцы, учитывая нагрузку на обеспечение качества. С этой точки зрения, разбросанное раскрытие информации CTA Labs можно считать безрассудным, мягко говоря.
Но технический директор CTS Labs Ярон Лук-Зильберман приходит к защите фирмы с собственным предложением: рассмотреть поправки к текущей программе Responsible Disclosure.
