Intel tố AMD 'thiếu trách nhiệm' trong khắc phục lỗi bảo mật chip

Công ty này cũng không quên "nhắc nhẹ" rằng sản phẩm của họ có độ bảo mật cao nhất.

Trong bảo báo cáo bảo mật toàn 2024, bộ phận Bảo mật và Cam kết Sản phẩm của Intel (IPAS) cho biết trong năm qua, công ty này phát hiện tổng cộng 374 lỗ hổng trên các sản phẩm mình, với 53% trong số đó được ghi nhận thông qua chương trình săn tiền thưởng (bounty). Song thông tin đáng chú ý khác là những cái tên gồm AMD, ARM, Qualcomm, NVIDIA cũng bị đưa vào danh sách với AMD bị chỉ trích nhiều nhất khi có 78 lỗi "không có kế hoạch sửa".

Tổng quan báo cáo bảo mật sản phẩm 2024 của Intel

Cụ thể thì Intel không tự đưa ra các con số về sản phẩm của đối thủ mà dựa vô trang tin về bảo mật của từng hãng để đưa vào báo cáo (nhưng chỉ có AMD và NVIDIA, không thấy nguồn của ARM hay Qualcomm). Nên chúng ta "tạm" có thể tin. Theo đó, công ty này "tự xếp hạng" sản phẩm của mình có độ cam kết bảo mật tốt nhất, đạt 82.2 điểm. Đáng ngạc nhiên ở vị trí thứ 2 là Qualcomm với 68.5 điểm. AMD hạng 3 với 65 điểm, NVIDIA hạng 4 với 61.7 điểm và "chót bảng" là ARM khi chỉ được 45.3 điểm.

Intel còn cho biết 96% số lỗ hổng của hãng được phát hiện thông qua các nỗ lực chủ động tìm kiếm lỗi của hãng, với 100% lỗ hổng liên quan các chip xử lý được phát hiện từ trong nội bộ (ngoài phần cứng ra còn các nguồn khác như phần mềm, SDK...). Ngoài ra phần lớn lỗ hổng phần mềm (84%) là được phát hiện qua chương trình săn tiền thưởng.

Thống kê lỗi bên Intel

Trong tổng 374 lỗ hổng được phát hiện của Intel, có 272 thuộc về phần mềm (ứng dụng, trình điều khiển, công cụ hỗ trợ, SDK...); 81 thuộc về phần sụn (firmware) gồm cả nền tảng, mạng không dây, FPGA, NUC, SSD...; và 21 còn lại thuộc phần cứng (đều phát hiện nội bộ).

Cơ bản mọi thứ vẫn "ổn" cho tới khi nhà khổng lồ x86 bắt đầu lôi đối thủ vào so sánh, mà chủ yếu là AMD. Theo nhận xét của Intel, nền tảng firmware gốc-niềm-tin (root-of-trust) của AMD trong 2024 có số lỗ hổng nhiều gấp Intel 4,4 lần. "Gốc niềm tin" ở đây theo định nghĩa của Intel là các lỗi liên quan tới chip bảo mật. Trong đó Intel gọi là CSME cho PC và SPS cho server, còn AMD gọi chung là Secure Processor (ASP). Cụ thể trong 2024, AMD ghi nhận 31 lỗ hổng trên ASP còn Intel chỉ có 7 lỗ hổng trên CSME/SPS. Theo lý giải của Intel, lý do cho khác biệt này chủ yếu ở việc AMD "khoán" hết việc bảo mật cho ASP xử lý, còn Intel dựa trên những thành phần khác ví như MCHECK nên đã giảm đáng kể số lỗ hổng.

Song chi tiết mà Intel nhấn mạnh nhất là việc AMD không có kế hoạch sửa (No fix planned) cho 78 lỗ hổng liên quan ASP (gồm các lỗ hổng đã phát hiện trước 2024). Trong đó có 5 lỗ hổng "có tính nghiêm trọng" cho phép kẻ tấn công thực thi các đoạn mã arbitrary. Bên cạnh đó, tỷ lệ lỗ hổng mà AMD chủ động phát hiện được cũng thấp đáng kể, tới 42% số lượng do các đơn vị bảo mật thứ 3 ghi nhận. Chi tiết này cho thấy về lâu dài, các hacker có thể "tích luỹ" một số lượng đáng kể lỗ hổng bảo mật trên nền tảng AMD.

So sánh lỗ hổng bảo mật giữa AMD vs. Intel

Tất nhiên để mà nói, quy mô nhân sự của AMD thua Intel nhiều lần nên do đó, việc phát hiện và sửa lỗi sẽ không được "rốt rẻng" bằng Intel. Ngoài ra để đánh giá một lỗ hổng nào cần sửa hay không sẽ tuỳ thuộc nhiều yếu tố. Trong đó đáng kể nhất là liệu hacker có thể thực hiện từ xa mà không cần tiếp xúc trực tiếp với máy tính hay không. Dù sao hãy hy vọng rằng quyết định không sửa lỗi của công ty này sẽ ít gây hậu quả về lâu dài.

Quay lại báo cáo của Intel, sau khi tham gia mặt trận GPU, công ty này cũng không quên "va chạm" với NVIDIA. Nhưng có lẽ vì GPU không phải sản phẩm chính nên nội dung báo cáo cũng khá sơ sài. Cụ thể hãng này ghi nhận trong năm vừa qua, họ chỉ có 10 lỗ hổng GPU với 1 là nghiêm trọng. AMD có nhiều hơn với 13 lỗ hổng nhưng ở mức nhẹ và vừa. Riêng NVIDIA tận 18 lỗ hổng và đều nghiêm trọng! Intel không quên "bồi" thêm ghi nhận rằng 72% lỗ hổng của NVIDIA đều có khả năng cho phép kẻ tấn công thực thi các đoạn mã theo ý thích của họ.

Thống kê lỗ hổng bảo mật GPU

Riêng ARM và Qualcomm, không rõ số liệu của Intel từ đâu. Nhưng suy cho cùng đây là báo cáo một chiều nên sẽ cần số liệu của các đơn vị độc lập khác đối chiếu. Chỉ biết các con số "phát hiện nội bộ" là một thang đo không kiểm chứng độc lập được. Cũng cần nói thêm một nền tảng càng phổ biến thì khả năng tìm ra lỗ hổng trên chúng càng cao. Thêm vào đó, tuy Intel vẫn hay "khoe" về độ bảo mật nhưng các sản phẩm gần đây của họ lại gặp nhiều sự cố nghiêm trọng như Meltdown và Spectre, dòng chip Raptor Lake thì BSOD lên xuống, Arrow Lake hiệu năng dưới kỳ vọng cũng khiến chúng ta phải suy nghĩ ít nhiều...