AMD Ryzen Master z poważną luką, koniecznie go zaktualizuj
Ogólnie z opisu podatności wynika, że problemem jest brak sprawdzania uprawnień użytkownika przy instalacji programu. Co więcej "Pozostaje niejasne czy użytkownik nieposiadający uprawnień administratora w ogóle jest w stanie wykorzystać starszy instalator do przeprowadzenia ataku."
Czyli widzę 2 potencjalne podejścia:
- Użytkownik bez uprawnień lub na koncie gościa wykorzystuje błąd, instalując program, żeby uzyskać wyższe uprawnienia w systemie. Atak wymaga fizycznego dostępu.
- Haker skłania użytkownika do zainstalowania spreparowanej instalki, która podczas instalacji od razu może dodać jakieś malware z wyższymi uprawnieniami. Atakowi można zapobiec nie instalując programu z przypadkowych plików i rozmaitych "plikowni", tylko z oficjalnej strony.
Rzeczywiście, słuszna uwaga. Ale myślę, że problem dotyczy tylko marginalnej grupy użytkowników, bo gracze zwykle nie mają powodu bawić się w dostępy zdalne, a w jakimś korpo, gdzie się takie rzeczy instaluje dla łatwej, zdalnej konserwacji systemu i sprawdzania, czy pracownik się nie obija, raczej się się Ryzen Mastera nie instaluje.
widząc co rusz wiadomości odnośnie wad/problemów amd odnoszę wrażenie, że ktoś tam prowadzić sabotaż
To nie żaden sabotaż, a pismaki które muszą takie tematy podsycać.
To jest kolejna pierdoła, która nie dotyczy 95% użytkowników ale jak wpadnie Ci w oczy kilkadziesiąt razy kombinacja słów AMD i problemy, to w końcu ludziom się utrwali, że coś jest niby nie tak.
Kolejny trik psychologiczny - pisanie o rzeczach negatywnych jest łatwiejsze, a ludzie zaskakująco lepiej takie njusy odbierają.
Czasem tęskno mi do lat 90-tych czy wczesnych 2000ych. Mam wrażenie, że wtedy wszyscy byli jacyś radośniejsi, artykuły technologiczne bardziej nastawione na pokazywanie nowych i coraz lepszych nowinek technologicznych.
Dzisiaj wazyscy koncentrują się na tym aby coś/kogoś zgnoić i jak najbardziej dopiec w imię zarobku. Nawet marnego...
Wiesz, to raczej dobrze, jeśli nie wszystko przyjmuje się hurraoptymistycznie i zwraca uwagę także na wady i gorsze strony technologii.
Problem jest raczej w tym, że artykuły muszą się klikać, więc w nagłówku jest coś w stylu "Uwaga, krytyczna podatność, koniecznie zaktualizuj X, bo hakerzy czyhają", a potem z opisu wynika, że sama luka, owszem, wymaga załatania, ale nie jest tak poważna, jak to chciano przedstawić i dotyczy głównie niewielkiej grupy wszystkich użytkowników.
widząc co rusz wiadomości odnośnie wad/problemów amd odnoszę wrażenie, że ktoś tam prowadzić sabotaż
Zwyczajnie kiedy Intel łatał swoje luki to fanatycy AMD się zachwycali jakie to wspaniałe AMD zrobiło procki.
Nie wiem, gdzie tu "fanatyzm". Fakty są takie, że wszystkie podatności z wykonywaniem spekulatywnym pozwalały atakującemu wykorzystać java script na dowolnej stronie, więc stanowiły zagrożenie właściwie dla każdego komputera podłączonego do sieci. W intelach znaleziono 4 czy 5 różnych podatności tej klasy, natomiast u AMD, z tego, co pamiętam, było podatne na 1 z nich i to chyba jeszcze w ograniczonym zakresie.
Te odkrywane podatności u AMD? Są, oczywiście, że są i zawsze będą (i warto zaznaczyć, że u AMD ich krytyczność jest sporo mniejsza), niezależnie od producenta. Bardziej bym się martwił, gdyby nikt niczego nie odkrywał.
Swoją drogą może warto się w to zagłębić i sprawdzić ile zarejestrowano błędów i jaką mają ocenę CVE, dla Intela i AMD i wyciągnąć jakąś średnią ważoną współczynnika "bezpieczeństwa" dla poszczególnych firm.
W każdym razie takie najprostsze wyszukiwanie (bardzo niedokładne, bo po prostu wpisałem słowa kluczowe AMD i Intel i sprawdziłem tylko ile baza podatności zwróciła wyników, przez co mogły też pojawić się wyniki nie mające bezpośredniego związku z naszym tematem), które daje bardzo ogólny obraz, to: 160 podatności ze słowem kluczowym "AMD" i 1386 dla "Intel". Źródło danych: https://cve.mitre.org/cve/search_cve_list.html
Zainteresowanych zapraszam do bardziej szczegółowej analizy wyników.
