故意泼脏水？AMD官方回应Zen安全漏洞

来自以色列的安全机构CTS-Labs突然曝出猛料，声称AMD Zen架构处理器存在四组12个高危安全漏洞，涉及Ryzen、EPYC全线产品。

AMD第一时间对此发表了一份官方声明：

“我们刚刚收到一家名为CTS-Labs的公司的报告，声称我们的特定处理器产品可能存在安全漏洞。我们正在积极进行调查和分析。这家公司AMD从未听闻，而且不同寻常的是，这家安全机构直接将自己的发现公布给了媒体，却没有给AMD合理的时间调查和解决问题。安全是AMD的首要职责，我们持续努力确保我们客户的安全，应对新的安全威胁。如有后续进展我们会第一时间公告。”

可以看出，由于事发突然，特别是这些漏洞发现并没有按照行业惯例提前通知并给予90天的静默期，AMD被打了个措手不及，目前还无法完全证实这些漏洞的真伪。

即便是真的存在漏洞，这件事也显得很诡异。

国外权威硬件媒体AnandTech在报道此事的时候，也首先提出了一系列质疑：

1、CTS-Labs只给了AMD 24小时的时间知晓问题所在，而行业标准都是在漏洞发现后，提前联系涉事公司，并且要等90天才会对外公开，以便修复解决，而且初期不会披露漏洞技术细节。

2、在告知AMD和公开之前，CTS-Labs首先联系了一些媒体，向他们通报情况。

3、CTS-Labs 2017年才刚刚成立，资质尚浅，这只是他们的第一份公开安全报告，也未公开自己的任何客户。

4、CTS-Labs并没有自己的官方网站，公布此次漏洞却专门建立了一个名为AMDFlaws.com的网站，还是2月22日刚刚注册的。

5、从网站布局看，很像是已经提前准备了很久，并未考虑AMD的回应。

6、CTS-Labs还雇佣了一个公关公司来回应业界和媒体联系，这并非正常安全公司的风格。

AnandTech就这些疑问向CTS-Labs发去邮件查询，尚未得到任何回应。

很多人可能会和此事将近来闹得沸沸扬扬的Meltdown熔断、Spectre幽灵漏洞相比，但后者是Google等权威安全团体早就确认的，而且第一时间和Intel、AMD、ARM、微软、亚马逊等等业内相关企业都做了联系沟通，共同解决，最后媒体踢爆属于意外曝料，而且当时距离解禁期已经很近了。

另外值得注意的是，这次曝光的漏洞，都是涉及AMD Zen处理器内部的安全协处理器(ARM A5架构模块)和芯片组(祥硕给AMD外包做的)，和Zen微架构本身并无任何关系，并非核心级别问题。

还有媒体报道指出，攻击者如果要利用这些漏洞，都必须提前获取管理员权限，然后才能通过网络安装恶意软件，危害程度并不是最高的，属于二等漏洞。

这一年来AMD处理器可以说是气势如虹，不断在各个领域取得突飞猛进，得到了行业和用户的普遍认可。眼下第二代Ryzen CPU也即将发布，却突然出现这么一件很诡异的漏洞事件，背后有什么不为人知的故事?确实值得玩味。

后续进展，我们将持续保持关注。