AMD证实CTS Labs提报的漏洞确实存在，正着手修补

AMD于本周二（3/20）首度公开回应了以色列资安业者CTS Labs在上周所公布的安全漏洞，证实了相关漏洞的存在，表示所有的漏洞开采都需先取得管理权限，并已着手展开修补。

CTS Labs将所发现的AMD漏洞分为MASTERKEY、FALLOUT与RYZENFALL，以及CHIMERA等类别。其中的MASTERKEY漏洞可绕过AMD平台安全处理器（PSP）的签章检查，让骇客以自己的固件更新PSP；至于FALLOUT与RYZENFALL开采的是PSP的APIs，以于PSP或系统管理模式（SMM）上执行程式；CHIMERA则是滥用AMD Promontory芯片组界面，也能在芯片组处理器上执行程式。

根据AMD的调查，CTS Labs所提报的漏洞与嵌入式安全处理器的固件管理，以及某些Socket AM4及Socket TR4桌面平台有关，并未涉及AMD Zen架构。

AMD强调，评估后发现所有的漏洞都需要取得管理权限才能开采，但任何取得管理权限的骇客所能执行的攻击行动早就超出CTS Labs所描述的范围。此外，各种现代化的操作系统与企业等级的管理程序都有许多安全控制功能，能有效地预防未经授权的权限存取。

不论如何，AMD已着手修补PSP固件，也正与设计及生产AMD Promontory芯片组的业者合作开发缓解措施，预计于几周内就能借由BIOS更新来部署新固件，且相关更新将不会影响效能。