AMD a recunoscut în sfârșit că există o problemă cu sistemul sau Platform Security Processor. La începutul acestei luni, laboratoarele CTS din Israel au găsit 13 vulnerabilități critice (inclusiv RyzenFall, MasterKey, Fallout și Chimera) in produsele AMD, care ar putea permite atacatorilor să acceseze date sensibile, să instaleze programe malware și să obțină acces complet la mașinile compromise acces administrare). AMD a publicat o declarație care subliniază în mare măsură amenințarea, dar susține că patch-urile vor veni în curând.
Anunțul vine in contextul mai larg al controversei care implică divulgarea responsabilă a unor vulnerabilitati descoperite de cercetatori. Atunci când cercetătorii găsesc vulnerabilități în produse, aceștia oferă companiilor în general 90 de zile să răspundă – uneori și mai mult, în funcție de gravitatea defecțiunii în cauză. Google a dat Intel în jur de 200 de zile pentru a repara vulnerabilitatile Meltdown și Spectre înainte de a le dezvălui publicului, de exemplu. Ideea, desigur, este de a oferi companiilor o oportunitate de a obține un remediu înainte ca indivizii rau intentionati să găsească o modalitate de a valorifica vulnerabilitatea în sine.
Dar laboratoarele CTS Labs le- semnalat celor de la AMD problema cu doar 24 de ore înainte de a le dezvălui publicului – cu siguranță nu suficient de mult timp pentru ca compania să facă ceva. Deși CTS Labs nu a dezvăluit nicio informație tehnică despre această problemă care ar fi putut afecta în vreun fel utilizatorii AMD, dezvaluirea sa prematură a provocat probleme în industrie. Creatorul sistemulu de operare Linux, Linus Torvalds, de exemplu, a declarat pentru ZDNet: „Seamănă mai mult cu manipularea stocurilor pe care ne-o ofera un consultant de securitate”.
Cu toate acestea, laboratoarele CTS susțin că au făcut ceea ce este bine, susținând că nu credeau că AMD ar fi capabil să remedieze problema pentru „multe, multe luni sau chiar un an” oricum. Ilia Luk-Zilberman de la CTO Labs a postat, de asemenea, o scrisoare pe site-ul AMDflaws în care își explică de ce nu au oferit un timp de răspuns de 90 de zile și de ce crede că este utila dezvăluirea vulnerabilităților tuturor celorlalți (consumatorii și mass-media, precum și companiile în cauză), punand presiune asupra părților interesate pentru a rezolva lucrurile.
Acest lucru pare sa fie cazul cu AMD, care spune că actualizările patch-urilor pot fi așteptate prin actualizările BIOS-ului (fără a afecta performanța) în următoarele săptămâni – un răspuns corect fiind prinsa cu garda jos. Problema acum, însă, ar fi și alte companii de cercetare în domeniul securității, care ar îndepărta, în mod similar, regula de 90 de zile. În cazul în care vulnerabilitățile au fost făcute publice în momentul în care au fost descoperite, acestea vor deveni o adevărată provocare pentru toți cei interesați să știe unde sunt într-adevăr riscurile.