美国佐治亚州诺克罗斯——全球领先的 BIOS 和 UEFI 固件、服务器和远程管理工具、数据存储产品以及基于 Linux® 和 Android™ 操作系统的独特解决方案提供商 AMI,就 CTS-Labs 最近在 AMD Ryzen™ 和 EPYC™ 处理器系列中发现的安全漏洞发表声明。
近日,一份报告显示,安全公司 CTS-Labs 发现了 AMD Ryzen 和 EPYC 处理器系列中潜在的安全漏洞,并提前 24 小时通知 AMD 即将公开相关信息。通常情况下,软件行业会在信息公开前预留 3 至 6 个月的时间,以便受影响的公司能够采取措施缓解问题并保护最终用户的隐私。一篇报道这些潜在安全漏洞的新闻文章指出,“CTS-Labs 指出,Ryzen 系统常用的 BIOS 提供商 AMI 使得 BIOS 重刷变得非常容易,前提是攻击者拥有兼容的 BIOS”。针对这一说法,AMI 希望就此做出澄清,并解决在安全 BIOS 更新过程中可能出现的担忧。
AMI希望向其产品用户保证,AMI始终将产品和服务的安全放在首位。事实上,AMI已通过多种安全协议简化了BIOS更新流程,以防止恶意和/或未经授权的BIOS更新。需要注意的是,只有使用主板制造商提供的原始BIOS镜像,更新过程才能称得上“简单”。如果BIOS镜像已被未知来源篡改,更新过程将拒绝,BIOS将不会发生任何更改,并且BIOS重新刷新也绝非易事。攻击者要想获得“兼容的BIOS”,唯一的办法就是获取主板制造商的私钥。该私钥是保密的,仅供主板制造商使用;因此,公众或潜在攻击者无法获取。
鉴于近期有关安全漏洞的新闻不断,用户对这类报告感到担忧是可以理解的。然而,AMI BIOS 用户无需为此担忧,因为如前所述,AMI 的更新流程确保只有主板制造商才能提供 BIOS 更新,任何来源不明的更新都会被拒绝。大多数安全公司都会将安全漏洞、缺陷等信息保密数月之久。在我们的行业中,提前 24 小时发布通知是闻所未闻的。
AMI 与 AMD 等技术合作伙伴携手,共同打造安全的计算世界。
要了解有关 AMI 的 Aptio V UEFI 固件的更多信息,请访问ami.com/products/aptio-v/。
AMD、AMD Ryzen 和 AMD EPYC 是 Advanced Micro Devices, Inc. 在美国和其他国家的商标。所有其他商标均为其各自所有者的财产。
