13 kerentanan yang ditemukan sempat menjadi kontroversi dan menarik perhatian serius publik digital. Kabar kurang sedap itu bermula dari laporan perusahaan keamanan CTS Labs yang baru memberi tahu pihak AMD kurang dari 24 jam sebelum merilis informasi ke publik. Padahal, standar praktik pengungkapan kerentanan mengharuskan perusahaan keamanan memberi pemberitahuan setidaknya 90 hari sebelum melakukan “go public” informasi, agar produsen dapat memperbaiki kekurangan dan mencegah terjadinya peretasan yang dapat menghadirkan masalah lebih luas.
Banyak yang berpendapat seandainya CTS Labs memberi tahu AMD sesuai dengan standar waktu yang sudah berlaku umum (90 hari), masalah-masalah yang terjadi pada chip Ryzen dan EPYC diprediksi dapat ditangani dalam waktu satu minggu setelah adanya pemberitahuan.
“Setiap masalah yang dikutip dapat dimitigasi melalui patch firmware dan pembaruan BIOS standar, yang kami rencanakan akan dirilis dalam beberapa minggu mendatang,” Tegas Sarah Youngbauer, juru bicara senior AMD. “Kami yakin ini memberikan contoh yang baik tentang mengapa ada standar pemberitahuan 90 hari untuk pemberitahuan semacam itu.”
Dalam laporan kerentanan semula, CTS Labs mengatakan bahwa diperlukan beberapa bulan untuk memperbaiki masalah yang ditemukan dan bahkan beberapa masalah pada perangkat keras “tidak dapat diperbaiki.” AMD sendiri tidak mengamini lamanya waktu yang diperlukan tersebut dan memastikan akan menyediakan lebih banyak informasi dalam beberapa minggu ke depan.
Celah Kerentanan Pada Chip Ryzen dan EPYC yang Kian Memicu Kontroversi
Polemik makin meruncing ketika CTS Labs menanggapi balik AMD dan mereka menulis bahwa perusahaan itu (AMD) “mencoba mengecilkan arti penting dari kerentanan.”
Pihak AMD mengatakan bahwa masalah yang ditemukan bukan pada perangkat kerasnya, tetapi pada firmware, atau perangkat lunak yang tertanam dalam perangkat keras. Inilah yang menjadi dasar kenapa AMD akan menghadirkan perbaikan untuk 13 kerentanan melalui patch dan pembaruan BIOS. Mark Papermaster, chief technology officer AMD, mengatakan pembaruan tidak akan mempengaruhi kinerja chip, sebagaimana masalah kerentanan yang pernah menjangkiti chip Intel, yaitu Spectre dan Meltdown.
Kerentanan yang dilaporkan CTS Labs juga mengundang pengawasan ketat, karena “pengendalian” yang dilakukan AMD dirasa memang akan cukup sulit. Para peneliti independen seperti Trail of Bits turut mengkonfirmasi bahwa kelemahan itu benar adanya. AMD coba meyakinkan bahwa bahwa sekalipun ada kerentanan, tidak mudah bagi para peretas untuk melakukan penyerangan, karena mereka harus memiliki akses administratif ke sistem yang akan memberikan banyak opsi.
Menurut penilaian teknis AMD, masing-masing kekurangan membutuhkan akses administratif.
“Setiap penyerang yang mendapatkan akses administratif tidak sah akan memiliki kemungkinan serangan yang bisa mereka lakukan, melampaui eksploitasi yang diidentifikasi dalam penelitian ini,” kata Papermaster dalam sebuah pernyataan.
Sebagai pihak yang turut kena kritik, CTS Labs sendiri tampaknya berusaha melakukan penafian hukum sebagaimana tertuang di situs web perusahaan: “Anda disarankan bahwa kami mungkin memiliki, baik secara langsung maupun tidak langsung, kepentingan ekonomi dalam kinerja sekuritas perusahaan dimana produk adalah subjek dari laporan kami. ”
Chief financial officer dan co-founder CTS Labs, Yaron Luk-Zilberman, mengatakan “tidak memiliki investasi apa pun (jangka panjang ataupun pendek) di Intel atau AMD.”
Kontroversi tidak berhenti disitu, karena ternyata laporan keamanan telah bocor ke Viceroy Research, sebuah perusahaan keuangan, satu minggu sebelum CTS Labs mengungkapkannya kepada AMD. Viceroy mengakui ke Motherboard bahwa ia menggunakan laporan itu untuk mencoba menimbun stok AMD.
Terungkapnya fakta tersebut langsung disanggah CTS Labs dengan mengatakan bahwa mereka tidak memiliki afiliasi dengan Viceroy Research.
Sementara AMD menolak untuk berspekulasi tentang motivasi keuangan CTS Labs.
Wah, lumayan panas juga ya suasana di balik adanya celah kerentanan pada Chip Ryzen dan EPYC?
