以色列的 CTS-Labs 資安公司於昨日披露了 AMD 處理器的 13 項安全漏洞,橫跨 EPYC 、 Ryzen 、 Ryzen Pro 、 Ryzen Mobile 系列處理器,還替這些漏洞起了四個觸目驚心的類別名稱: Ryzenfall 、 Masterkey 、 Fallout 及 Chimera ,看到他們網站圖文並茂的介紹,確實令 AMD CPU 的用家人心惶惶。不過我們昨天也報導過, CTS-Labs 的爆料疑點重重,令人不禁懷疑他們是利用公眾對 CPU 漏洞的恐慌,發放虛假消息造謠,導致 AMD 股價瀑瀉,從中獲利。而 Linux 之父 Linus Torvalds 亦對 CTS-Labs 的爆料不以為然,還公開狠批他們的做法!
Linux Torvalds 於 Google+ 社交網站發帖,指資訊安全業界風氣腐敗,近日的事更創出道德底線新低,暗指有人為得到公眾注意而做出荒謬的行為,更形容他們是「 Attention-Whoring 」,總是想得到別人注意的婊子/淫婦。雖然沒指名道姓說是 CTS-Labs 或 AMD 處理器漏洞事件,但從他回覆網民的留言中,可得知此帖文是嘲諷 CTS-Labs 的做法。他在留言把 CTS-Labs 形容為垃圾,認為他們的研究報告似乎是為了製造謠言、操縱股票市場,多於提供實用的資安建議,希望業界人士多作批判性思考。
在 CTS-Labs 公開漏洞事件後短短兩個多小時,一個名為 Viceroy Research 的網站就發布長達 33 頁的文章,詳細講解漏洞背後的技術,明顯是在 CTS-Labs 公布之前已獲知消息,關係與 CTS-Labs 異常密切。而報告的總結部分更批評:「 AMD 的價值為 $0 美元,要解決漏洞事件,就不得不申請破產。」語氣用字極端,並不如一般資安報告的寫法。 Viceroy Research 亦承認了他們持有 AMD 股票的空頭頭寸( Short Position ),意味當 AMD 股價下跌時,他們就會賺到金錢上的利益。再者, CTS-Labs 所揭發的 13 個漏洞,均需 Root 權限才能發動攻擊入侵,當駭客連 Root 權限都拿到時,其實可以任意妄為,不論有沒有這 13 個漏洞,駭客都能控制裝置、偷取密碼等資料。所以我們除了時刻保持警覺,注意資訊安全之餘,亦應對安全漏洞消息多作批判性思考,切勿盲目相信謠言。
