В процессорах AMD обнаружены не менее критичные бреши, чем Spectre

В процессорах AMD обнаружены не менее критичные бреши, чем Spectre

В процессорах AMD обнаружены не менее критичные бреши, чем Spectre

Исследователи сообщают об обнаружении 13 недостатков в безопасности в чипах AMD Ryzen и EPYC, которые могут позволить злоумышленникам установить вредоносную программу на строго защищенные части процессора.

По словам специалистов, эти критические уязвимости открывают доступ к конфиденциальным данным на миллионах устройств. Особенно тревожным является тот факт, что бреши нашли там, где повышенный уровень безопасности важнее всего — обычно в этой области хранятся конфиденциальные данные, такие как пароли и ключи шифрования.

Большинство этих дыр в безопасности для эксплуатации требуют прав администратора, это значит, что сначала злоумышленник должен будет получить контроль над целевым устройством при помощи какой-либо вредоносной программы.

О наличии 13 уязвимостей стало известно благодаря исследователям из израильской компании CTS-Labs. По словам специалистов, недостатки затрагивают чипы Ryzen и EPYC, напомним, что Ryzen используются в настольных компьютерах и ноутбуках, а EPYC обычно питают серверы.

Эксперты опубликовали видео, в котором подробно рассматриваются эти уязвимости:

«В AMD безопасность является главным приоритетом, мы постоянно работаем над обеспечением безопасности наших пользователей, поскольку постоянно возникают новые киберриски», — заявил представитель AMD. — «В настоящее время мы исследуем этот отчет об обнаруженных уязвимостях, чтобы дать ему соответствующую оценку».

Исследователи предоставили AMD 24 часа на изучение обнаруженных недостатков и вынесение соответствующего вердикта по ним. Это довольно странный поступок, учитывая, что обычно у компаний есть стандартные 90 дней, в течение которых они могут устранить найденные бреши. Например, специалисты Google дали Intel шесть месяцев на устранение проблем, связанных со Spectre и Meltdown.

Некоторые независимые специалисты раскритиковали отчет CTS-Labs за отсутствие каких-либо технических подробностей уязвимостей. Однако на данный момент есть краткое описание четырех обнаруженных брешей.

Первая из них — Master Key. Уязвимость Master Key обходим процесс проверки безопасной загрузки «secure boot», устанавливая вредоносную программу непосредственно в BIOS. После этого этапа Master Key позволяет злоумышленнику установить зловред на сам защищенный процессор, что даст полный контроль над тем, какие программы могут запускаться во время загрузки системы.

Вторая — Ryzenfall. Эта брешь затрагивает чипы AMD Ryzen, предоставляя атакующему доступ к защищенным данным, включая ключи шифрования и пароли. По словам экспертов, обычно в эти области процессора доступ надежно закрыт.

Следующая — Fallout. Fallout действует по подобию Ryzenfall — позволяет злоумышленникам получить доступ к разделам, где хранятся защищенные данные.

И, наконец, Chimera. Эта брешь существует из-за двух разных уязвимостей, одна из котрых находится в прошивке, а другая в аппаратном обеспечении.

Госдума России: в 2026 году VPN ограничиваться не будет

В Госдуме РФ осознают, что «обуздать» VPN-технологии в целях борьбы с экстремизмом невозможно, к тому же под блок могут попасть законопослушные сервисы. В 2026 году ограничений работы VPN не предвидится.

Позицию властей по этому вопросу и ближайшие планы озвучил на телеканале РБК глава думского комитета по инфополитике, ИТ и связи Сергей Боярский, Он также предостерег граждан от безоглядного использования VPN.

«Если жить с включенным VPN, то можно зайти в такие уголки интернета, в которые лучше не попадать, особенно подросткам», — заявил во всеуслышание депутат.

За неполные 10 месяцев 2025 года в рунете под блок попали 258 VPN-сервисов — против 197 в 2024-м. В России также запрещено продвигать VPN как средство обхода регуляторных ограничений.

В сентябре этого года вступил в силу закон, по которому за подобную рекламу VPN могут вчинить штраф, как и за умышленный поиск в интернете экстремистских материалов, в том числе с помощью VPN. Вместе с тем использование таких сервисов в легитимных целях в России не запрещено.

RSS: Новости на портале Anti-Malware.ru