2018.03.21

AMD, 라이젠 취약점 인정…정기 BIOS 업데이트 쉽게 수정

Mark Hachman | PCWorld
AMD가 CTS 랩이 발견한 라이젠폴(Ryzenfall) 취약점의 존재를 인정했다. 하지만 몇 주 내에 나올 정기 BIOS 업데이트를 통해 패치할 수 있다고 밝혔다.



CTO 마크 페이퍼마스터가 올린 블로그 포스트를 통해 AMD는 4가지 큰 분류의 공격, 즉 마스터키, 라이젠폴, 폴아웃, 키메라가 모두 실행 가능한 것이라고 인정했다. 하지만 이들 공격은 모두 PC나 서버에 관리자 권한으로 액세스해야 한다는 문제는 남는다. 페이퍼마스터터는 마이크로소프트 윈도우 크리덴셜 가드와 같은 서드파티 보호 기능 역시 승인되지 않은 관리자 권한 액세스를 차단한다고 지적했다.

페이퍼마스터는 어떤 경우에도 “승인되지 않은 관리자 권한을 확보한 공격자라면 이번 연구에서 발견된 취약점이 아니라도 폭넓은 공격을 할 수 있다”고 덧붙였다.

새 취약점을 이용한 공격의 실질적인 가능성에는 의문을 표했지만, AMD는 일반 소비자가 가장 궁금해하는 질문에 대한 답은 제시했다. 우선 3종류의 취약점에 대해서는 펌웨어 업데이트를 준비하고 있으며, 수주 내에 발표할 예정이라고 밝혔다. 이 펌웨어는 예정된 정기 BIOS 업데이트를 통해 배포된다. 또한 성능에는 아무런 영향이 없을 것으로 예상했다.

나머지 한 가지 유형의 취약점인 키메라는 서드파티 업체인 ADMedia가 공급하는 로직으로 만든 프로몬토리(Promontory) 칩셋에 영향을 미친다. 이 취약점을 위한 패치 역시 BIOS 업데이트를 통해 제공되지만, AMD는 프로몬토리 칩셋 제조업체와 공동으로 완화책을 개발하고 있다고 밝혔다.

AMD는 이들 취약점을 이용한 공격을 원격에서 실행할 수 있는지에 대해서는 긍정도 부정도 하지 않았다. 다만 멜트다운이나 스펙터와는 아무런 관련이 없다고 밝혔다.

지난 주 CTS 랩은 보도자료와 자사 웹 사이트를 통해 AMD 칩의 취약점을 공개했는데, AMD에 따르면 공개 24시간 전에야 AMD에 통보했다. 또 면책조항을 반복적으로 강조해 논란을 불러 일으키기도 했다. PCWorld도 CTS 임원과의 인터뷰를 시도했지만, 사전 질의서에서 발표 시기나 재무적 동기에 대한 질문은 거절 당했다.

이런 과정에서 취약점은 두 곳의 독립적인 연구팀에 의해 확인됐는데, 트레일 오브 비츠(Trail of Bits)와 체크 포인트(Check Point) 두 곳 모두 공격자가 실제로 이 취약점을 악용할 수 있을지에 의문을 표했다.

결론적으로 라이젠 CPU 기반 PC 사용자는 긴장을 풀어도 될 것으로 보인다. AMD는 패치 배포일을 특정하지는 않았지만, 몇 주 정도의 짧은 기간에 이들 취약점을 무기화하기는 어려울 것이기 때문이다.  editor@itworld.co.kr


2018.03.21

AMD, 라이젠 취약점 인정…정기 BIOS 업데이트 쉽게 수정

Mark Hachman | PCWorld
AMD가 CTS 랩이 발견한 라이젠폴(Ryzenfall) 취약점의 존재를 인정했다. 하지만 몇 주 내에 나올 정기 BIOS 업데이트를 통해 패치할 수 있다고 밝혔다.



CTO 마크 페이퍼마스터가 올린 블로그 포스트를 통해 AMD는 4가지 큰 분류의 공격, 즉 마스터키, 라이젠폴, 폴아웃, 키메라가 모두 실행 가능한 것이라고 인정했다. 하지만 이들 공격은 모두 PC나 서버에 관리자 권한으로 액세스해야 한다는 문제는 남는다. 페이퍼마스터터는 마이크로소프트 윈도우 크리덴셜 가드와 같은 서드파티 보호 기능 역시 승인되지 않은 관리자 권한 액세스를 차단한다고 지적했다.

페이퍼마스터는 어떤 경우에도 “승인되지 않은 관리자 권한을 확보한 공격자라면 이번 연구에서 발견된 취약점이 아니라도 폭넓은 공격을 할 수 있다”고 덧붙였다.

새 취약점을 이용한 공격의 실질적인 가능성에는 의문을 표했지만, AMD는 일반 소비자가 가장 궁금해하는 질문에 대한 답은 제시했다. 우선 3종류의 취약점에 대해서는 펌웨어 업데이트를 준비하고 있으며, 수주 내에 발표할 예정이라고 밝혔다. 이 펌웨어는 예정된 정기 BIOS 업데이트를 통해 배포된다. 또한 성능에는 아무런 영향이 없을 것으로 예상했다.

나머지 한 가지 유형의 취약점인 키메라는 서드파티 업체인 ADMedia가 공급하는 로직으로 만든 프로몬토리(Promontory) 칩셋에 영향을 미친다. 이 취약점을 위한 패치 역시 BIOS 업데이트를 통해 제공되지만, AMD는 프로몬토리 칩셋 제조업체와 공동으로 완화책을 개발하고 있다고 밝혔다.

AMD는 이들 취약점을 이용한 공격을 원격에서 실행할 수 있는지에 대해서는 긍정도 부정도 하지 않았다. 다만 멜트다운이나 스펙터와는 아무런 관련이 없다고 밝혔다.

지난 주 CTS 랩은 보도자료와 자사 웹 사이트를 통해 AMD 칩의 취약점을 공개했는데, AMD에 따르면 공개 24시간 전에야 AMD에 통보했다. 또 면책조항을 반복적으로 강조해 논란을 불러 일으키기도 했다. PCWorld도 CTS 임원과의 인터뷰를 시도했지만, 사전 질의서에서 발표 시기나 재무적 동기에 대한 질문은 거절 당했다.

이런 과정에서 취약점은 두 곳의 독립적인 연구팀에 의해 확인됐는데, 트레일 오브 비츠(Trail of Bits)와 체크 포인트(Check Point) 두 곳 모두 공격자가 실제로 이 취약점을 악용할 수 있을지에 의문을 표했다.

결론적으로 라이젠 CPU 기반 PC 사용자는 긴장을 풀어도 될 것으로 보인다. AMD는 패치 배포일을 특정하지는 않았지만, 몇 주 정도의 짧은 기간에 이들 취약점을 무기화하기는 어려울 것이기 때문이다.  editor@itworld.co.kr


X