AMD widerspricht: Forscher finden Sicherheitslücken in AMD-Prozessoren

Mit zwei Sicherheitslücken in AMD-Prozessoren seit 2011 sollen sich Speicherverwürfelung aushebeln und Daten auslesen lassen. AMD kritisiert die Forschungsergebnisse jedoch als nichts Neues.

Artikel veröffentlicht am ,
Auch Ryzen-Prozessoren von AMD sind betroffen.
Auch Ryzen-Prozessoren von AMD sind betroffen. (Bild: anirudhlv/Pixabay)

Nicht nur Intel-Prozessoren haben Sicherheitsprobleme: Forscher der Universitäten Graz (Österreich) und Rennes (Frankreich) wollen zwei Sicherheitslücken in AMD-Prozessoren entdeckt haben. Betroffen sind AMD-CPUs seit 2011 bis hin zu aktuellen CPUs aus dem Jahr 2019, dem Ende des Forschungsvorhabens. AMD widerspricht den Forschern: Es handle sich um keine neuen Sicherheitslücken, Nutzer seien nicht gefährdet.

Stellenmarkt
  1. Principal Data Engineer (m/f/d)
    über experteer GmbH, München
  2. Mitarbeiter IT-Helpdesk / Supporttechniker (m/w/d)
    Heinz von Heiden GmbH Massivhäuser, Isernhagen bei Hannover
Detailsuche

Um den Stromverbrauch ihrer Prozessoren bei gleicher Geschwindigkeit zu senken, hat AMD 2011 einen Way Predictor für das L1D-Cache eingeführt. Die Sicherheitslücken konnten die Forscher durch Reverse-Engineering der undokumentierten Vorhersagefunktion entdecken. Bei dem ersten Angriff, den die Forscher Collide+Probe nennen, können sie den Speicherzugriff überwachen, "ohne Kenntnis der physikalischen Adressen oder des gemeinsamen Speichers", heißt es in dem Papier. Das funktioniert allerdings nur, wenn die Forscher Code auf dem gleichen logischen Prozessorkern ausführen können. Mit Load+Reload, dem zweiten Angriff, funktioniert dies auch, wenn der Code auf einem anderen logischen Prozessorkern ausgeführt wird.

Bei dem auf dem gleichen oder einem verbunden logischen Prozessor ausgeführten Code kann es sich laut den Forschern auch um Javascript-Code auf einer Webseite handeln. Mit diesem könne beispielsweise die Speicherverwürfelung des Kernels oder der Browser in einer Sandbox weitgehend ausgehebelt werden. Auch sei es den beiden Forschern gelungen, Daten auszulesen, schreiben sie.

AMD sei bereits im August 2019 informiert worden, habe jedoch bisher kein Microcode-Update ausgeliefert, um die Prozessorlücken zu schließen. AMD hält die Lücken jedoch für keine neuen Angriffe auf die spekulativen Funktionen seiner Prozessoren: "Uns ist das Papier bekannt, in dem die Forscher behaupten, potenzielle Sicherheitslücken in AMD-CPUs gefunden zu haben, mit der ein böswilliger Akteur eine Cache-bezogene Funktion derart manipulieren kann, um Nutzerdaten auf eine unbeabsichtigte Weise auszulesen."

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Diese werde jedoch mit bereits bekannten und behobenen Sicherheitslücken in Software und spekulativer Vorhersage im Prozessor kombiniert. Daher seien die Sicherheitslücken keine neuen Angriffe auf die spekulative Vorhersage. Gegen solche Seitenkanalangriffe helfen laut AMD klassische Sicherheitsempfehlungen: Software aktuell halten, sichere Programmierguidelines befolgen sowie die aktuellen Versionen von Bibliotheken verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Gallantus 11. Mär 2020

Weil es das eben nicht ist. Der bug von amd ist nämlich genau, dass threads auf andere...

KnSNaru 09. Mär 2020

Leistungsverluste von Skylake-S: Ein Viertel in der ALU-Performance und ein Drittel in...

Auspuffanlage 09. Mär 2020

Alternative?

bofhl 09. Mär 2020

AMD kann diesen Fehler beheben - doch wozu? Nur um einige OS die das nicht hin bekommen...

gadthrawn 09. Mär 2020

Dadurch, dass du Cachezugriffszeiten messen kannst, kannst du wie in dem Paper...



Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurde ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurde ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

  2. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  3. ProMotion: iPhone 13 Pro kommt bei Drittanbieter-Apps nicht auf 120 Hz
    ProMotion
    iPhone 13 Pro kommt bei Drittanbieter-Apps nicht auf 120 Hz

    Ein Fehler im Betriebssystem verhindert, dass Apps von Drittanbietern die 120- Hz-Funktion des iPhone 13 Pro nutzen können.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /