Новости Software

Создатель Linux раскритиковал отчёт CTS Labs об уязвимостях AMD

На днях неизвестная израильская контора CTS Labs опубликовала отчёт об обнаружении свыше дюжины уязвимостей процессоров AMD Ryzen и EPYC. При этом не были соблюдены стандартные процедуры информирования производителя и в целом история оказалась как минимум неоднозначной. Но широкий резонанс она всё же получила, так что среди прочих создатель Linux Линус Торвальдс (Linus Torvalds) решил её прокомментировать.

В ветке обсуждения Google+ он написал: «Когда вы в последний раз видели описание проблем с безопасностью, которые бы в основном сводились к тому, что если заменить BIOS или микрокод процессора зловредной версией, у пользователя может возникнуть проблема с защитой данных? Угу». Другой комментатор развил мысль: «А я обнаружил уязвимости во всём аппаратном обеспечении. Нет безопасных устройств: если у вас есть физический доступ, вы можете просто взять его под мышку и унести. Я уже эксперт по безопасности?».

CTS Labs дала AMD менее суток на исправление выявленных ошибок, которые назвала броскими именами Ryzenfall, Master Key, Fallout и Chimera. В беседе с ресурсом Tom’s Hardware израильская фирма пояснила, что пошла на этот шаг по той причине, что хотела скорее проинформировать общественность, а AMD якобы всё равно не сможет исправить уязвимости в течение многих, многих месяцев или даже за год.

Почему CTS Labs могла это сделать? Господин Торвальдс делает более простой и приземлённый вывод: «Для меня вся эта история больше походит на манипулирование курсом акций, чем на советы по безопасности». Да, ошибки были выявлены, но они требуют наличия прав администратора и едва ли не физического доступа к системе — по мнению Линуса Торвальдса, всё это совершенно не стоит шумихи, которая была поднята.

Это не первый случай. Например, в Linux недавно была выявлена уязвимость Chaos, главным условием для работы которой является наличие у злоумышленника root-пароля. Но если хакер имеет такой пароль, то система уже по сути взломана, остальное — детали. По мнению господина Торвальдса, сейчас индустрия безопасности научила всех относиться к выводам экспертов некритически, и это сильно вредит. Он полагает, что есть настоящие исследователи безопасности, но большинство спекулируют на самых мелких дырах, придумывая при этом броские имена и создавая специальные сайты — из-за этого, по мнению создателя Linux, они часто выглядят клоунами.

Господин Торвальдс далеко не в первый раз в грубой форме критикует положение дел в индустрии кибербезопасности из-за того, что важные проблемы часто игнорируются, а мелкие ошибки раздуваются до небес.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Корабль Boeing Starliner впервые пристыковался к МКС, но в полёте снова возникли нештатные ситуации 42 мин.
Hyundai вложит в производство электромобилей и батарей в США около $5,54 млрд 3 ч.
Власти Индонезии утверждают, что достигнута договорённость с Tesla о строительстве местного предприятия 4 ч.
США постарается догнать КНР в гонке суперкомпьютеров, но без ослабления санкций добиться этого будет труднее 10 ч.
Renault представила концепт Scenic Vision на водородно-электрической установке 13 ч.
Корабль SpaceX Dragon доставит 7 июня на МКС различные грузы, включая новые микроорганизмы 16 ч.
Свежие подробности об AR/VR-гарнитуре Apple: два процессора, 14 камер и участие в проекте Джони Айва 16 ч.
Gigabyte покажет на следующей неделе первые материнские платы для процессоров Ryzen 7000 16 ч.
Шведское предприятие Northvolt приступило к товарным поставкам тяговых батарей европейского производства 17 ч.
Рынок ноутбуков сокращается — поставки дисплеев в апреле упали до нового минимума 17 ч.