Полупроводниковая компания AMD наконец-то признала, что есть проблема с ее Platform Security Processor. Ранее в этом месяце израильские лаборатории CTS обнаружили 13 критических уязвимостей (включая RyzenFall, MasterKey, Fallout и Chimera) с продуктом AMD, что позволило злоумышленникам получить доступ к конфиденциальным данным, установить вредоносное ПО и получить полный доступ к взломанным машинам (хотя для этого потребовалось бы доступ администратора). Сегодня AMD опубликовала заявление, которое в значительной степени недооценивает угрозу, но утверждает, что исправления будут опубликованы в ближайшее время.

Объявление идет на фоне более широкого спора, связанного с ответственным раскрытием. Когда исследователи находят уязвимости в продуктах, они обычно дают компаниям 90 дней для ответа и исправления - иногда даже дольше, в зависимости от серьезности рассматриваемого недостатка. Google, например, дала Intel около 200 дней, чтобы исправить Meltdown и Spectre, прежде чем открыть их для публики. Идея, конечно же, заключается в том, чтобы дать компаниям возможность получить исправление там, прежде чем гнусные люди найдут способ извлечь выгоду из самой уязвимости.

Но CTS Labs рассказала AMD об этой проблеме всего за 24 часа, прежде чем опубликовать ее для общественности – конечно у компании не было достаточно времени, чтобы что-то сделать. Хотя CTS Labs не раскрывает никакой технической информации о проблеме, которая могла бы повредить пользователям AMD каким-либо образом, ее преждевременное откровение вызвало возмущение в отрасли.

директор CTS Labs Илья Лук-Зильберман также опубликовал письмо на сайте AMDflaws, в котором объясняет свою проблему с 90-дневным окном ответов и почему он считает, что каждый раз обнаруживает уязвимость для всех (потребителей и средств массовой информации, а также компаний), оказывает давление на соответствующие стороны, чтобы добиться определенных целей.

Обновления исправлений можно ожидать благодаря обновлениям BIOS (не влияя на производительность) в ближайшие недели.