Questa discussione ha avuto 2 risposte

[Robò Numero 5]

Nella giornata di ieri su queste pagine abbiamo a lungo parlato della tredici falle di sicurezza scovate da una compagnia israeliana, CTS-Labs, nei processori di ultima generazione targati AMD, vale a dire i Ryzen, EPYC, Ryzen Pro e Ryzen Mobile...
Leggi la news completa: Ricercatore Microsoft conferma: le falle AMD sono reali e serie

[Dech]

Sono falle che anche se in toto o in parte legittime, richiederebbero comunque l'accesso diretto alla macchina e i privilegi di amministratore e a quel punto qualunque macchina, indipendentemente dalla CPU o dal suo OS è vulnerabile.

E' come dire che l'antifurto dell'auto è vulnerabile perché quando la si chiude si lasciano le chiavi nella portiera.

Siamo ai livelli del caso Intel ME/TXE. Già in passato, nel 2017, erano state scovate delle falle nel PSP (Platform Security Processor) di AMD, tappate a fine anno, senza scatenare inutili polveroni allarmistici. Anzi, curiosamente, proprio quelle falle PSP vennero ritirate fuori quando scoppiò il caso Meltdown/Spectre a inizio gennaio da alcune fonti che cercavano di appioppare ulteriori vulnerabilità alle CPU AMD.

Siamo seri, il modo in cui è stata buttata fuori sta faccenda ha il solo scopo di disturbo.

 

 

Ma infatti questa storia va ben oltre il ridicolo, parliamo di "falle" che possono essere sfruttate dopo averne messe in pratica altre indipendenti dalla CPU. Meltdown e Spectre erano molto piú gravi ma ai limiti dell'inapplicabilitá teorica (figuriamoci quella pratica) per obiettivi seri ma che andavano patchate assolutamente perché prima o poi qualche genio sarebbe risucito a sfruttarle.

In questo caso, se ho i permessi di amministratore del PC, ci sono n-mila exploit piú semplici da mettere in pratica del tipo mandarsi una mail / aprire un FTP / installare un trojan e whitelistarlo in tempistiche assai piú brevi rispetto a quelle del bios flashing. Aria fritta per speculatori.

[darkwyzard]

A me sembra che questa storia sia meno allarmante di quanto sembri.