AMD undersöker påstådda säkerhetshål i företagets processorer och styrkretsar

Permalänk
Medlem
Visa signatur

How do 'Do Not Walk on the Grass' signs get there ?

Permalänk
Inaktiv
Skrivet av Xinpei:

För att detta ens ska vara behövligt så måste DU BOKSTAVLIGEN HA TILLGÅNG TILL PERSONENS DATOR. Alltså krävs det lika mycket tillgång till datorn som det krävs för att man ska nå den med ett baseballträ.. och jag tvivlar att du säkrat din dator från den typen av "attacker".

Nej, du behöver adminrättigheter vilket är knappast svårt att få tag på. Sedan är det kört för att du kan inte rensa ut PSP.

Det är bättre att ha en sönderslagen dator (fast du har fel att det krävs tillgång i RL) än en som aldrig går att rensa från virus. Köper du något begagnat så kan du få spionverktyg på köpet och så vidare. Det här är en katastrof och det verkar att det är sant fast det presenterades fult som bara den.

Bakdörrar är bakdörrar oberoende om du hejar på intel eller AMD. Båda är lika stora svin när det kommer till den här delen.

Permalänk
Medlem
Skrivet av anon127948:

Det är de visst. PSP är samma sak som Intels IME. Rent teoretiskt är den, liksom, IME tänkt att tillåta administrering av många datorer...
Det finns absolut ingenting positivt i att ha en PSP eller IME i sin processor.

Om du nu har över tusen "processorer" spridda på lika många användare, och det är ditt jobb att administrera dem alla, så finns det definitivt någonting positivt med funktionen!

Skrivet av Ozzed:

Och då frågar jag... Finns det något system som inte är sårbart om en obehörig person har fysisk tillgång till maskinen och adminrättigheter? Nej det är klart att det inte gör.

Precis. Är det inte en "sårbarhet" att det alls går att installera och exekvera mjukvara på datorn?

Skrivet av Stoff3th3m4n:

Det fanns så pass många varningsklockor gällande tillvägagångssättet att man gott kunde förklarat lite närmare kring detta, som man gjorde i den här artikeln.
...
Uppenbarligen kände man sig nödgade att klargöra ganska omgående, vilket i sig är ett bevis på att man var för snabba och otydliga i den första artikeln.

Med tanke på hur många källor som kan förväntas bara sprida det onyanserade källmaterialet känns det helt rätt att publicera en mer nyanserad artikel i ämnet.

Skrivet av tellus82:

En del här som påstår att man inte skulle kunna detektera en hypotetisk modifierad mjukvara i PSP men det låter inte helt sannolikt då det torde vara en relativt enkel sak att kolla upp egentligen, lika om det rör sig om enbart moddad uefi.

Lätt att kontrollera, kanske, förutsatt att man har väldigt bra koll på vad som ska finnas i datorn. Men omöjligt att upptäcka vid vanlig användning.

Permalänk
Inaktiv
Skrivet av Ozzed:

Troligtvis inte. Dels så har de inte underrättat AMD om den påstådda säkerhetsbristen långt i förväg innan de går ut med det publikt, som riktiga säkerhetsföretag gör, och dels finns inte någon exempelkod som bevisar påståendet.

Sen är det också så att de påstådda bristern kräver fysisk tillgång till maskinen och administratörsrättigheter...

Och då frågar jag... Finns det något system som inte är sårbart om en obehörig person har fysisk tillgång till maskinen och adminrättigheter? Nej det är klart att det inte gör.

@Ozzed
Är väl om man klickar på något kul skript i mail eller får in något från någon sida på nätet som får tillgång till datorn.

Och sen använda dessa brister/buggar för att få fram info eller förstöra.

Permalänk
Inaktiv
Skrivet av Olle P:

Om du nu har över tusen "processorer" spridda på lika många användare, och det är ditt jobb att administrera dem alla, så finns det definitivt någonting positivt med funktionen!

Jag har inte tusen processorer sprida och även om jag hade det så föredrar jag säkerhet. OS stödjer också administrering utan att man lämnar öppen en bakdörr som man inte vet ett dugg om. Visst det går inte att installera om en dator där OS är hel död men det händer knappast tillräckligt ofta för att det ska vara värt att ha bakdörrar i varenda CPU.

Permalänk
Medlem

Hvis det skal være slik at moderator bare skal få slette alt det jeg skriver, noe som synes å ha skjedd her, så kan dere på Sweclockers få være i fred og jeg skal aldri mer gidde å poste noen kommentar her videre, for hvis jeg ikke kan få gi uttrykk om om ting slik jeg personlig synes er relevant så er det ikke noe god ide for meg å poste på forum hvis jeg skal bedrive absurd selv-sensur.

Permalänk
Medlem

@JonasT Du är verkligen på hets jakt.
Din föregående blask nyhet där du rakt ner dräller in skit i merparten för att i slutet göra en luddig friskrivning.
I denna nyhet så vänder du lite på steken å anger de först som en nyhet.
Sen friskrivningen
Men i slutet... anklagelse igen.
Jag har citerat redan flera länkar som kraftigt motstrider hela denna skit.
En varav högst respekterad inom IT å säkerhet Linus Torvalds
Tar vi ett litet sax från en annan tidning PcGamer

Citat:

but if you can flash the BIOS, unlock TPM keys, leave a backdoor, and cover your tracks, it's a bit like breaking into a bank, stealing the money, leaving yourself future access, and hiding all evidence that any of this ever occurred.

Och som en användare hade uttryckt det, oavsett, säkerhet som kräver fysisk access så varför inte bara ta datorn å gå?

Avslutar med en quote från Mr.Linus

Citat:

"No, really, I'm not a whore. Pinky promise"

Visa signatur

Det du inte hinner idag hinner du inte imorgon med.

Permalänk
Datavetare
Skrivet av tellus82:

En del här som påstår att man inte skulle kunna detektera en hypotetisk modifierad mjukvara i PSP men det låter inte helt sannolikt då det torde vara en relativt enkel sak att kolla upp egentligen, lika om det rör sig om enbart moddad uefi.

För att belysa problematiken på ett sätt som är lite mer jordnära för de flesta.

Du har ett program i user-space med Windows/OSX/Linux (kvittar vilken) som kärna. Hur kan ditt program avgöra exakt vilken kod kärnan kör?

Svar: det kan den inte därför att kärnan kör med högre privilegier. Även om koden till kärnan ligger öppet på filsystemet så kan ett program körande under en kärna veta att det faktiskt är den koden som körs. Faktum är att ett user-space program kan inte ens med säkerhet veta att filen finns på disken eller om den finns, att det kärnan ger till programmet faktiskt är det filen innehåller på disk.

När en Ryzen-maskin strömsätts så startar alltid exekveringen i CPUn som kör inuti PSP, detta går inte att ändra!

Denna processor är integrerad i kislet, vilket betyder att den inte kan tas bort. Även om det skulle gå har man då problemet att första instruktionen som förväntas köra när strömmen slås hos en Zen CPU på är faktiskt en ARMv7 instruktion.

Sett till priviligeringsnivå kör BIOS/UEFI på samma nivå som OS-kärnan, det är en nivå under PSP. Man har alltså samma problem som ett user-space program har mot OS-kärnan. Vad BIOS/UEFI "ser" är inte nödvändigtvis verkligheten, det är vad det högre privilegierade kontexten väljer att visa.

Det HW-gränssnitt som finns mot PSP är extremt begränsat. Finns beskrivet i en rätt kort sektion i AMDs "BIOS and Kernel development guide", kapitel 2.14 "Platform Security Processor (PSP)". Det är vad BIOS har att jobba med, man kan be snällt att PSP lämnar ut något eller "stänger av sig" (rent tekniskt kan inte PSP stängas av).

Om någon lyckas flasha in joe_labero_malware.rom i PSP så kan man från BIOS/OS-kärnan inte på något sätt vara säker på att det man läser/skriver verkligen har den effekt man tror. PSP kan välja att presentera vilken illusion den vill av verkligheten och x86 ring 0 världen kan inte se någon skillnad.

Dock ligger PSP programmet utanför CPUn (extern flash), så det är tekniskt möjligt att med externa verktyg verifiera och även återställa PSP-programvaran till något man vet är korrekt. Uppdatering av PSP-programvaran via BIOS fungerar bara om aktuell PSP-programvara är med på noterna (gissningsvis utförs en reflash från BIOS via det I2C-gränssnitt som PSP har, där självklart PSP är bus-master).

TL;DR PSP kör med högre privilegier jämfört med BIOS/OS-kärnan, det är orsaken till att ett "elak" PSP-program är omöjligt att detektera samt omöjligt att ta bort om det vänder den sidan till.

Slänger med den vanliga brasklappen: ovan är bara vad som skulle kunna hända om något av det CTS Labs hävdar är sant. Är personligen rätt skeptiskt till deras "rapport"!

Visa signatur

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Permalänk
Medlem

BREAKING NEWS!!!!

Allvarliga brister i säkerheten på Volvos bilar har upptäckts.
De kan i värsta fall orsaka dödsfall.

Det som krävs för att man ska reproducera problemen är att man ger en 5-åring en halv flaska vodka och sätter barnet vakom ratten med ögonbindel. Sen tar man bort bromsskivorna, lägger växellådan i Drive, och sätter en tegelsten på gaspedalen.

Vi inväntar svar från Volvo.

Visa signatur

Min musik: https://www.youtube.com/channel/UCZKidNeIKsz8LZMO3VRcBdQ

Ryzen 3900x. Skärm: AOC cu34g2x/bk 144hz 34" ultrawide. RTX 2080ti

Laptop: MSI GT80 Titan Sli

Permalänk
Skrivet av anon127948:

Med lite tur kommer detta tvinga AMD att antingen ta bort skiten. Det finns inget sätt att säkra bakdörrar oberoende om man är intel eller AMD. Det är omöjligt.

Vi kan kanske be NSA att kräva en disable bit för AMD med så att den kan stängas av så fort CPUn bootat upp medan vi väntar på att de tar bort den.

Ehm, du läste inte artikeln va?

Visa signatur

PC #1 CPU: R5 1600 @3.8 Motherboard: B350-A PRIME GPU: EVGA 1080 Ti
PC #2 CPU: i7 3770K @4.2 Motherboard: P8P67 GPU: AMD R9 290X

Permalänk
Inaktiv
Skrivet av Bloodstainer:

Ehm, du läste inte artikeln va?

Jag har läst rätt många om det hela. Vilken del menar du?

Permalänk
Skrivet av anon127948:

Jag har läst rätt många om det hela. Vilken del menar du?

Delen att det inte är en bakdörr, eller ens en exploit.

Visa signatur

PC #1 CPU: R5 1600 @3.8 Motherboard: B350-A PRIME GPU: EVGA 1080 Ti
PC #2 CPU: i7 3770K @4.2 Motherboard: P8P67 GPU: AMD R9 290X

Permalänk
Medlem

Anandtech hade ett konferenssamtal med CTS:
https://www.anandtech.com/show/12536/our-interesting-call-wit...

Slutade lite abrupt när de fick frågan om den aktuella kunden.

Visa signatur

| 212965 00 ] == :^D * ==)

Permalänk
Inaktiv
Skrivet av Bloodstainer:

Delen att det inte är en bakdörr, eller ens en exploit.

Det är båda dessa saker. PSP och IME är bakdörrar då de är tänkta för fjärradministration (hävdar AMD och Intel och med tanke på NSA bit i IME är det förmodligen sant också). Det ända som skyddar användaren är att koden hålls hemlig och några certifikat. Som vi vet så är hemligheter och certifikat knappast rätt sätt att säkra någonting.

Permalänk
Medlem
Skrivet av Kolsvart Katt:

Anandtech hade ett konferenssamtal med CTS:
https://www.anandtech.com/show/12536/our-interesting-call-wit...

Slutade lite abrupt när de fick frågan om den aktuella kunden.

Lite intressant att CTS killarna inte begrep att enterprise miljö är främst virtualiserade miljöer där dessa "säkerhetshål" inte är applicerbara alls (såvida man i förväg inte laddat fulhack på hårdvara och har direkt kontakt med sagda hårdvara...), också lite konstigt att dom valde att blåljuga om att dom inte fick lämna ut detaljerad info till andra länder baserat på israels lagar, något som var mycket enkelt att kolla upp på en gång och dementera. Sen antalet saker som dom basunerade ut stensäkert utan några direkta belägg för gjorde kanske inte saken bättre.

Om jag hade behov av en säkerhetsfirma så inte fan skulle jag betro dessa tomtar med något...

Visa signatur

| nVidia RTX3090FE | R9 5950x | MSI x570 Unify | Ballistix sport 3000c15 32GB DR@3800c16 | Custom Loop EKWB | 9TB nvme, 3TB sata SSD | RM1000x | Creative X4 | Lian Li o11 Dynamic | Alienware aw3821dw | >Zen2 på 3-400 mobo< | >x570 VRM< | :::AMD Zen Minnesguide:::|:::AMD Zen & Zen+ Överklockningsguide:::

Permalänk
Medlem
Skrivet av anon127948:

Det är de visst. PSP är samma sak som Intels IME. Rent teoretiskt är den, liksom, IME tänkt att tillåta administrering av många datorer men det är i princip vad en bakdörr är även om tanken var god från början. Sedan så trycker AMD på att den kan användas för DRM och för att i princip ta bort kontrollen från användaren.

Det finns absolut ingenting positivt i att ha en PSP eller IME i sin processor. Det är bara nackdelar som tvingas på oss av AMD och Intel.

En bakdörr är väl per definition något som medvetet lagts till i hemlighet för att kunna göra något som inte är dokumenterat och inte någonsin är tänkt att nyttjas av någon annan än de som lagt till den. Det är inte samma sak som ett oavsiktligt säkerhetshål.

PSP har med den definitionen inga bakdörrar vad jag vet, men ASMedias chipset verkar ha det (såvida CTS-Labs nomenklatur inte är felaktig).

Att AMD trycker på DRM-användning är väl för att man t.ex. ska kunna visa Netflix 4K-innehåll, vilket inte går med AMD-processorer i dagsläget (vilket var anledningen till att jag blev tvungen köpa Intel till min htpc). Jag hatar DRM, men som det ser ut i dagsläget är det en konkurrensfördel för AMD att ha stöd för det (eller rättare sagt en konkurrensnackdel att inte ha det). Tyvärr.

Visa signatur

5950X, 3090

Permalänk
Medlem

Det bästa med CTS Labs är följande. (Inhämtat från techkanaler på youtube)
1: Företaget är nytt. Det registrerades tämligen nyligen. Och har aldrig tidigare släppt några analyser.
2: Företagets hemsida beskriver i fintexten att de inte kan hållas ansvariga för om de tjänar ekonomiskt på att de rapporterar någonting negativt. (Eller rättare sagt: De kan tänkas ha ekonomiskt intresse i företagen som de rapporterar om)
3: Deras rapport följer inte branchstandard. Det saknades information som är standard vid dessa säkerhetsbristrapporteringar. Det följde ej heller standard, då säkerhetsbrister normalt rapporteras till tillverkare minst 90dagar innan publicering till allmänheten.
4: Deras promovideo, där de står och berättar om sitt bolag framför ett kontorslandskap använder sig av greenscreen video med stockfoton på kontors och servermiljö. (Känns ju seriöst det)

Så överlag så känns det helt klart suspekt. Ett sprillans nytt bolag, utan tidigare historik som plötsligt släpper en domedagsrapport om AMD. Samtidigt som deras hemsida tydligt berättar att de kan tänkas tjäna ekonomiskt på densamme.

Kolla in https://www.youtube.com/watch?v=heYt2CYPcbU för en diskussion om det vettja.

Visa signatur

Teknik är en drog..
Förövrigt anser jag att Carthago borde ödeläggas.

Permalänk
Inaktiv
Skrivet av backfeed:

En bakdörr är väl per definition något som medvetet lagts till i hemlighet för att kunna göra något som inte är dokumenterat och inte någonsin är tänkt att nyttjas av någon annan än de som lagt till den. Det är inte samma sak som ett oavsiktligt säkerhetshål.

PSP har med den definitionen inga bakdörrar vad jag vet, men ASMedias chipset verkar ha det (såvida CTS-Labs nomenklatur inte är felaktig).

Att AMD trycker på DRM-användning är väl för att man t.ex. ska kunna visa Netflix 4K-innehåll, vilket inte går med AMD-processorer i dagsläget (vilket var anledningen till att jag blev tvungen köpa Intel till min htpc). Jag hatar DRM, men som det ser ut i dagsläget är det en konkurrensfördel för AMD att ha stöd för det (eller rättare sagt en konkurrensnackdel att inte ha det). Tyvärr.

Nej det är det inte. Bakdörr är något som möjliggör tillgång utan att användaren kan välja bort det och det är exakt vad IME och PSP är. Det är en av deras huvudfunktioner, säkerhets buggar som har rapporterats om båda gör det bara mer tydligt och lättare att utnyttja.

DRM i PSP används inte för netflix och nej det är inte en fördel ens för dagens idiot konsumenter för DRM de pratar om är sådan som helt tar bort din kontroll över din egen dator för att PSP har fullständig tillgång och kontroll över CPU. Man måste vara jävligt kortsynt för att tro att det är något positivt för användarna.

Permalänk
Inaktiv
Skrivet av Etherhawk:

Det bästa med CTS Labs är följande. (Inhämtat från techkanaler på youtube)
1: Företaget är nytt. Det registrerades tämligen nyligen. Och har aldrig tidigare släppt några analyser.
2: Företagets hemsida beskriver i fintexten att de inte kan hållas ansvariga för om de tjänar ekonomiskt på att de rapporterar någonting negativt. (Eller rättare sagt: De kan tänkas ha ekonomiskt intresse i företagen som de rapporterar om)
3: Deras rapport följer inte branchstandard. Det saknades information som är standard vid dessa säkerhetsbristrapporteringar. Det följde ej heller standard, då säkerhetsbrister normalt rapporteras till tillverkare minst 90dagar innan publicering till allmänheten.
4: Deras promovideo, där de står och berättar om sitt bolag framför ett kontorslandskap använder sig av greenscreen video med stockfoton på kontors och servermiljö. (Känns ju seriöst det)

Så överlag så känns det helt klart suspekt. Ett sprillans nytt bolag, utan tidigare historik som plötsligt släpper en domedagsrapport om AMD. Samtidigt som deras hemsida tydligt berättar att de kan tänkas tjäna ekonomiskt på densamme.

Kolla in https://www.youtube.com/watch?v=heYt2CYPcbU för en diskussion om det vettja.

Att CTS Labs är slemmigare än en snigel betyder inte att det de säger är fel! De bör undersökas för olaglig handel med aktier men det de säger bör också testas då andra företag med lite mer rykte har sagt att buggar är riktiga och fungerar.

Permalänk
Medlem
Skrivet av anon127948:

Att CTS Labs är slemmigare än en snigel betyder inte att det de säger är fel! De bör undersökas för olaglig handel med aktier men det de säger bör också testas då andra företag med lite mer rykte har sagt att buggar är riktiga och fungerar.

Instämmer naturligtvis i din åsikt.. Alla rapporter om säkerhetsproblem måste naturligtvis utredas grundligt (Vilket AMD ju tycks göra)

Visa signatur

Teknik är en drog..
Förövrigt anser jag att Carthago borde ödeläggas.

Permalänk
Medlem
Skrivet av anon127948:

Nej det är det inte. Bakdörr är något som möjliggör tillgång utan att användaren kan välja bort det och det är exakt vad IME och PSP är. Det är en av deras huvudfunktioner, säkerhets buggar som har rapporterats om båda gör det bara mer tydligt och lättare att utnyttja.

Ja, jo... jag är med på vad du menar. Med tanke på att det inte finns offentligt tillgänglig fullständig dokumentation för varken ME eller PSP så blir de förstås bakdörrar även enligt min egen definition.

Skrivet av anon127948:

DRM i PSP används inte för netflix

Hade för mig att PlayReady 3.0-implementationen faktiskt skulle använda PSP på kommande AMD-processorer, men det kan ju vara fel.

I grund och botten håller jag med, både ME och PSP borde dräpas bort.

Visa signatur

5950X, 3090

Permalänk
Inaktiv
Skrivet av backfeed:

Ja, jo... jag är med på vad du menar. Med tanke på att det inte finns offentligt tillgänglig fullständig dokumentation för varken ME eller PSP så blir de förstås bakdörrar även enligt min egen definition.

Hade för mig att PlayReady 3.0-implementationen faktiskt skulle använda PSP på kommande AMD-processorer, men det kan ju vara fel.

I grund och botten håller jag med, både ME och PSP borde dräpas bort.

Hm. Det är faktiskt möjligt. Jag hade för mig att PlayReady 3.0 skiten krävde bara win10 och rätt GPU men den kräver rätt CPU med. Dock betyder det att Intel är lika stora svin som AMD bara att AMD inte gömmer DRM funktionen medan jag har inte sett Intel skryta med det som AMD gör.

Permalänk
Medlem

Tänker på en annan sak med, även om man behöver hands on etc.
Infektera hårdvaran med bakdörrar innan man säljer begagnat? Bryta sig in i leverantörskedjan för server-delar och infektera EPYC processorer med bakdörrar? Serverlösningar som säljs med...

Det är lite farligare än vad man kan tro, går ju inte att upptäcka att någon kan ha planterat skadlig kod i ens CPU som man köper, begagnad eller ny, som ger någon annan full tillgång till ens dator/server.

Permalänk
Medlem

@str8forthakill: Fast detta är möjligt på en mycket stor andel av all hårdvara som har integrerad mjukvara och jag har svårt att se hur tillverkare ska kunna skydda mot det annat än att köra rom baserad lösning och det har som nackdel att det inte går att patcha vid hw/sw buggar.

Visa signatur

| nVidia RTX3090FE | R9 5950x | MSI x570 Unify | Ballistix sport 3000c15 32GB DR@3800c16 | Custom Loop EKWB | 9TB nvme, 3TB sata SSD | RM1000x | Creative X4 | Lian Li o11 Dynamic | Alienware aw3821dw | >Zen2 på 3-400 mobo< | >x570 VRM< | :::AMD Zen Minnesguide:::|:::AMD Zen & Zen+ Överklockningsguide:::

Permalänk
Medlem
Skrivet av Etherhawk:

Det bästa med CTS Labs är följande. (Inhämtat från techkanaler på youtube)
1: Företaget är nytt. Det registrerades tämligen nyligen. Och har aldrig tidigare släppt några analyser.
2: Företagets hemsida beskriver i fintexten att de inte kan hållas ansvariga för om de tjänar ekonomiskt på att de rapporterar någonting negativt. (Eller rättare sagt: De kan tänkas ha ekonomiskt intresse i företagen som de rapporterar om)
3: Deras rapport följer inte branchstandard. Det saknades information som är standard vid dessa säkerhetsbristrapporteringar. Det följde ej heller standard, då säkerhetsbrister normalt rapporteras till tillverkare minst 90dagar innan publicering till allmänheten.
4: Deras promovideo, där de står och berättar om sitt bolag framför ett kontorslandskap använder sig av greenscreen video med stockfoton på kontors och servermiljö. (Känns ju seriöst det)

Så överlag så känns det helt klart suspekt. Ett sprillans nytt bolag, utan tidigare historik som plötsligt släpper en domedagsrapport om AMD. Samtidigt som deras hemsida tydligt berättar att de kan tänkas tjäna ekonomiskt på densamme.

Kolla in https://www.youtube.com/watch?v=heYt2CYPcbU för en diskussion om det vettja.

Ett nytt företag släpper en säkerhetsrapport som inte följer s.k. "branchstandard" och döms ut som fake pga problem med eventuella ekonomiska och visuella problem. Grundproblemet är väl ändå eventuella säkerhetsproblem. Vad är suspekt egentligen? Finns det säkerhetsproblem lär de komma i dagen.

Visa signatur

9900K | Gigabyte Z390 Auros Pro Wifi | 32 GB Corsair V LPX 3200 | 1TB Evo Plus 2TB 660P | 3090 Asus Tuf Oc | Acer XB271HU

Permalänk
Medlem
Skrivet av cyprus:

Ett nytt företag släpper en säkerhetsrapport som inte följer s.k. "branchstandard" och döms ut som fake pga problem med eventuella ekonomiska och visuella problem. Grundproblemet är väl ändå eventuella säkerhetsproblem. Vad är suspekt egentligen? Finns det säkerhetsproblem lär de komma i dagen.

Du svarar det själv. Problemet är bakomliggande orsaker som gör att man blir mer skeptisk till deras påståenden. Det brukar kallas för källkritik.

Tar du någon seriöst när de beter sig t.ex. såhär?

Skrivet av tellus82:

Lite intressant att CTS killarna inte begrep att enterprise miljö är främst virtualiserade miljöer där dessa "säkerhetshål" inte är applicerbara alls (såvida man i förväg inte laddat fulhack på hårdvara och har direkt kontakt med sagda hårdvara...), också lite konstigt att dom valde att blåljuga om att dom inte fick lämna ut detaljerad info till andra länder baserat på israels lagar, något som var mycket enkelt att kolla upp på en gång och dementera. Sen antalet saker som dom basunerade ut stensäkert utan några direkta belägg för gjorde kanske inte saken bättre.

Om jag hade behov av en säkerhetsfirma så inte fan skulle jag betro dessa tomtar med något...

Dold text
Skrivet av anon127948:

Att CTS Labs är slemmigare än en snigel betyder inte att det de säger är fel! De bör undersökas för olaglig handel med aktier men det de säger bör också testas då andra företag med lite mer rykte har sagt att buggar är riktiga och fungerar.

Korrekt men det betyder inte att man ska tro på dem heller. Börjar ana en röd tråd till dina kommentarer..

Visa signatur

Fractal Design Meshify 2 Compact w/ Dark Tint | Intel i5 12600K | Asus ROG Strix B660-F | 32 GB Corsair DDR5 5600 MHz CL36 | MSI Geforce RTX 3060 TI Ventus 2X OCV1 | 512 GB Samsung Pro 850 SSD + 2TB WD Black SN850 NVME PCI-E 4.0 | Corsair RM750X |

Permalänk
Inaktiv
Skrivet av tellus82:

@str8forthakill: Fast detta är möjligt på en mycket stor andel av all hårdvara som har integrerad mjukvara och jag har svårt att se hur tillverkare ska kunna skydda mot det annat än att köra rom baserad lösning och det har som nackdel att det inte går att patcha vid hw/sw buggar.

Det är väldigt enkelt att skydda mot. Ge kontrollen över hårdvara till ägaren av hårdvaran. Om Intel och AMD lät os flasha skiten och ha kontroll över den så skulle det vara trivialt att installera om (kan ha verktyg för det i ROM så att de kan inte stängas av) om man har fysisk tillgång (ha en port som man måste ansluta till). Då kan vi alla installera nytt när vi får hem sakerna och vara relativt säkra på vad vi har i handen. Tyvärr har de exakt noll intresse av att ta bort sina bakdörrar eller DRM drömmar om där kunder är bara något de kan sälja vidare.

Permalänk
Inaktiv
Skrivet av Xinpei:

Du svarar det själv. Problemet är bakomliggande orsaker som gör att man blir mer skeptisk till deras påståenden. Det brukar kallas för källkritik.

Tar du någon seriöst när de beter sig t.ex. såhär?

Dold text

Korrekt men det betyder inte att man ska tro på dem heller. Börjar ana en röd tråd till dina kommentarer..

Rödtråd är att det är väntat att PSP har säkerhetsproblem precis som intels IME. Det bör undersökas och tryckas på AMD och Intel att ändra oberoende av annat.

Permalänk
Medlem

Analys från AMD angående CTS-labs.
https://community.amd.com/community/amd-corporate/blog/2018/0...

Och inte helt oväntat så var det hela överhypat av CTS-labs. Sårbarheterna kräver alla admin rättigheter.
Kommer lösas med BIOS och firmware uppdateringar inom några veckor. Utan någon prestanda förlust.

Hade CTS labs varit professionella och hållit sig till 90 dagars branch standarden för att informera AMD. Så hade alla dessa problemen lösts och skickats ut i BIOS uppdateringar långt innan 90 dagar gått ut. Och hade inte blivit några nyheter alls.

Visa signatur

CPU: Ryzen 7 3700X MB: X570 Aorus Ultra Mem: Corsair Vengeance RGB Pro 2x16GB DDR4 @ 3200 MHz CL16 GPU: Radeon RX Vega 56 SSD: Corsair Force MP510 960GB Case: FD Meshify C PSU: Corsair RM 750W Display: Acer 35" Predator XZ350CU OS: Win10 Pro

Permalänk
Medlem

@ParasiteX: Bra spanat!