來自以色列的安全機構(gòu)CTS-Labs突然曝出猛料，聲稱AMD Zen架構(gòu)處理器存在四組12個高危安全漏洞，涉及Ryzen、EPYC全線產(chǎn)品。

AMD第一時間對此發(fā)表了一份官方聲明：

“我們剛剛收到一家名為CTS-Labs的公司的報告，聲稱我們的特定處理器產(chǎn)品可能存在安全漏洞。我們正在積極進行調(diào)查和分析。這家公司AMD從未聽聞，而且不同尋常的是，這家安全機構(gòu)直接將自己的發(fā)現(xiàn)公布給了媒體，卻沒有給AMD合理的時間調(diào)查和解決問題。安全是AMD的首要職責，我們持續(xù)努力確保我們客戶的安全，應對新的安全威脅。如有后續(xù)進展我們會第一時間公告。”

可以看出，由于事發(fā)突然，特別是這些漏洞發(fā)現(xiàn)并沒有按照行業(yè)慣例提前通知并給予90天的靜默期，AMD被打了個措手不及，目前還無法完全證實這些漏洞的真?zhèn)巍?/p>

即便是真的存在漏洞，這件事也顯得很詭異。

國外權(quán)威硬件媒體AnandTech在報道此事的時候，也首先提出了一系列質(zhì)疑：

1、CTS-Labs只給了AMD 24小時的時間知曉問題所在，而行業(yè)標準都是在漏洞發(fā)現(xiàn)后，提前聯(lián)系涉事公司，并且要等90天才會對外公開，以便修復解決，而且初期不會披露漏洞技術(shù)細節(jié)。

2、在告知AMD和公開之前，CTS-Labs首先聯(lián)系了一些媒體，向他們通報情況。

3、CTS-Labs 2017年才剛剛成立，資質(zhì)尚淺，這只是他們的第一份公開安全報告，也未公開自己的任何客戶。

4、CTS-Labs并沒有自己的官方網(wǎng)站，公布此次漏洞卻專門建立了一個名為AMDFlaws.com的網(wǎng)站，還是2月22日剛剛注冊的。

5、從網(wǎng)站布局看，很像是已經(jīng)提前準備了很久，并未考慮AMD的回應。

6、CTS-Labs還雇傭了一個公關(guān)公司來回應業(yè)界和媒體聯(lián)系，這并非正常安全公司的風格。

AnandTech就這些疑問向CTS-Labs發(fā)去郵件查詢，尚未得到任何回應。

很多人可能會和此事將近來鬧得沸沸揚揚的Meltdown熔斷、Spectre幽靈漏洞相比，但后者是Google等權(quán)威安全團體早就確認的，而且第一時間和Intel、AMD、ARM、微軟、亞馬遜等等業(yè)內(nèi)相關(guān)企業(yè)都做了聯(lián)系溝通，共同解決，最后媒體踢爆屬于意外曝料，而且當時距離解禁期已經(jīng)很近了。

另外值得注意的是，這次曝光的漏洞，都是涉及AMD Zen處理器內(nèi)部的安全協(xié)處理器(ARM A5架構(gòu)模塊)和芯片組(祥碩給AMD外包做的)，和Zen微架構(gòu)本身并無任何關(guān)系，并非核心級別問題。

還有媒體報道指出，攻擊者如果要利用這些漏洞，都必須提前獲取管理員權(quán)限，然后才能通過網(wǎng)絡安裝惡意軟件，危害程度并不是最高的，屬于二等漏洞。

這一年來AMD處理器可以說是氣勢如虹，不斷在各個領(lǐng)域取得突飛猛進，得到了行業(yè)和用戶的普遍認可。眼下第二代Ryzen CPU也即將發(fā)布，卻突然出現(xiàn)這么一件很詭異的漏洞事件，背后有什么不為人知的故事?確實值得玩味。

后續(xù)進展，我們將持續(xù)保持關(guān)注。