A CTS-Labs encontrou 13 vulnerabilidades que podem ser exploradas para aceder aos dados guardados em áreas protegidas dos processadores e instalar malware que pode afetar máquinas ou redes completas. A empresa terá alertado a AMD e 24 horas depois tornou a descoberta pública, contrariando as práticas correntes da indústria, em que as empresas geralmente têm 90 dias para sanar as falhas. Aqui, estão em causa milhões de PC e portáteis com chips Ryzen e servidores com chips EPYC. A exploração destas falhas implica acesso de administrador aos sistemas, noticia a Cnet.
A descoberta terá sido validada por um investigador independente, Dan Guido, que explica que o relatório técnico é bastante completo, os bugs são reais e que o código de exploit funciona. Por outro lado, este investigador também confirmou ter recebido o equivalente a uma semana de trabalho para emitir este parecer.
Há críticos que referem que o texto que acompanha estes relatórios deixa no ar a possibilidade de a CTS-Labs ter algum interesse financeiro nestas revelações: «podemos ter, direta ou indiretamente, um interesse económico no desempenho de segurança das empresas que produzem os produtos que analisamos nos nossos relatórios». Por outro lado, porta-voz da empresa disse que a CTS não tem qualquer investimento na Intel ou na AMD.
Quando foram conhecidas as vulnerabilidades Spectre e Meltdown, a AMD defendeu que não estaria afetada, uma vez que havia diferenças no design dos chips de ambas as empresas.
A AMD confirma ter recebido o relatório e que está a analisá-lo. No entanto, a Intel e a Microsoft ainda estão a conseguir encontrar as atualizações ideais para sanar o Spectre e o Meltdown várias semanas depois de estas falhas terem vindo a público.
