Ma reggel mi is beszámoltunk az AMD új generációs processzoraiban talált sérülékenységekről, az Epyc és Ryzen termékekben felfedezett hibák papíron komoly biztonsági kockázatot jelenthetnek az otthoni felhasználók és a vállalatok számára. Ettől függetlenül a problémák kedd esti napvilágra kerülésekor is nagy megdöbbentést keltett, hogy az izraeli CTS Labs biztonsági cég a felfedezéseinek nyilvánosságra hozatala előtt egyetlen nappal értesítette az AMD-t, így a gyártónak arra sem volt ideje, hogy házon belül megerősítse a bejelentett problémák létezését. Az iparági etikai normák szerint az AMD értesítése után 90 napig hallgatnia kellett volna a sebezhetőségekről a CTS-nek.
Elsőre is nagyon úgy tűnt, hogy a CTS Labs rendkívül etikátlan, jól előkészített önreklámozásra használja a hibákat, a minél nagyobb botrány keltése érdekében ráadásul alaposan felfújja a sérülékenységek tényleges kockázatait.
Pár órával a hibákról készült dokumentációjának a nyilvánosságra hozatala után több biztonsági szakértő is megállapította, hogy a legtöbb hiba kihasználásához a támadó félnek már rendszergazdai vagy adminisztrátori jogosultságokkal kell rendelkeznie a számítógépek operációs rendszerében. Viszont ha ilyennel rendelkezik a támadó, akkor
már nincs szüksége a processzorokban lévő sebezhetőségek kihasználására,
ezek nélkül is szinte bármit képes megtenni a PC-ken, például kártevőket telepíthet azokra.
Mindez még semmi. Mostanra kiderült, hogy a biztonsági kutatással foglalkozó szakemberek ismertebbik fele sosem hallott még a CTS Labs nevű vállalatról, a cég webhelyén pedig az irodájának a címe sem található meg. További érdekesség, hogy CTS Labs által az AMD-hibákról kiadott videóban szereplő személyek hátterében nem a cég irodája látszik, valójában stockfotók vannak a háttérben.
Ezzel nem ért véget a móka: kevesebb, mint három órával az AMD-hibák nyilvánosságra hozatala után a Viceroy Research egy 33 oldalas (!) jelentésben elemezte CTS Labs által nyilvánosságra hozott információkat. Drámai hangvételű dokumentumról van szó, ami szerint például az AMD-nek be kell szüntetnie az összes érintett processzor értékesítését, és most gyakorlatilag nulla dollárt ér a gyártó.
A megállapítás nettó ostobasága szinte ijesztő, de valószínűleg nem véletlenül: az amerikai Viceroy egy tőzsdei shortolással foglalkozó vállalat, ami idén januárban némi alaptalan vádaskodással majdnem bedöntötte a Dél-afrikai Köztársaságban működő Capitec Bank részvényárfolyamát.
A CTS Labs és a Viceroy Research dokumentumainak kisbetűs részeiben a felek csendben elárulták, hogy direkt vagy indirekt módon anyagi érdekeltséggel rendelkezhetnek az AMD-ben.
A rengeteg furcsa jel és összefüggés után a Linux atyja szokása szerint nem félt megmondani a tutit: Linus Torvalds egyrészt szemétnek titulálta a CTS Labs beszámolóját, másrészt pedig a meglátása szerint az egész felhajtással csak az AMD részvényárfolyamát próbálták manipulálni a felek.
Pánikkeltéssel próbálhatták csökkenteni azt, hogy aztán olcsón bevásárolhassanak belőlük. Nem jött össze, az AMD árfolyama az akciójuknak betudható gyengülés ellenére az elmúlt öt napban mért minimum szintjére sem ment le.
Van ráció az árfolyam manipulációjában, az AMD új processzorai ugyanis rendkívül kompetitívek, ráadásul a következő években biztosan azok is maradnak. A gyártó pont a hét elején közölte a befektetőkkel, hogy a nem túlságosan távoli jövőben a cég processzorpiaci részesedése könnyen elérheti 2000-es évek eleji, nagyjából 20% körüli csúcsot.
A következő időszakban jelentősen nőhet a vállalat részvényeinek értéke.
Fontos tisztázni, hogy az összes potenciális manipuláció ellenére a CTS Labs által nyilvánosságra hozott sérülékenységek szinte biztosan léteznek. Az AMD valamikor a közeljövőben fog tájékoztatást nyújtani az ügy kapcsán.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!