Twórcy raportu podzielili luki na 4 klasy. Exploit Masterkey umożliwia ominięcie zabezpieczeń Secure Boot. Ryzenfall pozwala w czasie rzeczywistym uruchomić złośliwy kod bez potrzeby modyfikowania firmware’u. Chimera to podatność czipsetu, która pozwala między innymi podsłuchiwać użytkowników. Z kolei Fallout dotyczy procesorów EPYC, stosowanych w centrach danych i pozwala uzyskać nieautoryzowany dostęp do pamięci. Warto zaznaczyć, że wszystkie opisane luki bezpieczeństwa wymagają uprawnień administracyjnych, aby je wykorzystać w praktyce.
Jednak raport firmy CTS-Labs budzi kontrowersje. Głównie ze względu na sposób publikacji. Przede wszystkim, izraelska firma dała AMD 24 godziny na reakcję zamiast standardowych 90 dni w takich wypadkach. Co więcej, publikacja raportu zbiegła się z 33 stronicową analizą finansową AMD przygotowaną przez firmę Viceroy Research Group. Według niej, “AMD jest warte 0 dolarów”, co jest kuriozalnym stwierdzeniem, nawet jeśli faktycznie mielibyśmy do czynienia z poważnym zagrożeniem bezpieczeństwa procesorów amerykańskiego producenta.
Regardless of the hype around the release, the bugs are real, accurately described in their technical report (which is not public afaik), and their exploit code works.
— Dan Guido (@dguido) March 13, 2018
Pomimo marketingu zaciemniającego sytuację, eksperci zajmujący się bezpieczeństwem tacy jak Dan Guido potwierdzają, że luki w procesorach AMD istnieją. Z tym, że aby je wykorzystać hakerzy musieliby i tak uzyskać prawa administratora systemu operacyjnego, a nawet możliwość aktualizacji BIOS-u. Tak duże uprawnienia stanowią same w sobie duże niebezpieczeństwo. Luki w procesorach mogą co prawda zwiększyć skutki włamania, ale mając tak szerokie uprawnienia, włamywacz może zrobić tak naprawdę wszystko. Mimo to producenci sprzętu powinni bardziej dbać o utrudnianie zadania hakerom. | CHIP