Ryzenfall: CTS Labs rechtfertigt sich für seine Disclosure-Strategie

Das umstrittene Sicherheitsunternehmen CTS Labs findet seine Disclosure-Strategie bei Sicherheitslücken in Ryzen- und Epyc-Chips richtig. Das Unternehmen äußert grundlegende Kritik am Industriemodell der Responsible Disclosure.

Artikel veröffentlicht am ,
Sicherheitslücken in Ryzen-CPUs haben für Diskussionen gesorgt.
Sicherheitslücken in Ryzen-CPUs haben für Diskussionen gesorgt. (Bild: Marc Sauter/Golem.de)

Angeblich "tödliche" Sicherheitslücken in aktuellen Ryzen- und Eypc-Chips von AMD haben in dieser Woche für Diskussionen in der Sicherheitsszene gesorgt. Die Probleme wurden von einer eher unbekannten israelischen Sicherheitsfirma ohne vorherige Warnung veröffentlicht.

Stellenmarkt
  1. Techniker (m/w/d) im Field Service Netzbetrieb
    willy.tel GmbH, Hamburg
  2. IT Datenbankadministrator / Datenbankanalyst (m/w/d)
    Hays AG, Stuttgart
Detailsuche

Der CTO des Unternehmens CTS Labs, Ilia Luk-Zilberman, kritisiert in einem offenen Brief, dass die meisten Hersteller ihre Nutzer nicht über ein mögliches Problem informieren, nachdem dieses gemeldet wurde. In diesem Zeitraum, der je nach Auslegung der Regeln meist zwischen 45 und 90 Tagen liegt, habe der Hersteller die gesamte Kontrolle über den Prozess.

Luk-Zilberman schlägt vor, künftig bereits an Tag 0 grundlegende Informationen und einen detaillierten Bericht mit technischen Details bereitzustellen, nachdem das Problem behoben wurde. Kritiker hatten bemängelt, dass CTS Labs AMD nur sehr wenig Zeit gegeben hatte, um auf das Problem zu reagieren. Grundsätzlich kann auch die Veröffentlichung weniger Informationen dazu führen, dass Angreifer Sicherheitslücken per Reverse-Engineering finden und ausnutzen, bevor sie geschlossen werden.

Kritiker vermuten gezielte Kursmanipulation

Außerdem hatte das Unternehmen zugegeben, Berichte über Sicherheitsprobleme gegen Geld auch Hedgefonds oder anderen Händlern bereitzustellen. Wegen der unzureichenden Details und der Verwendung bestimmter Wörter in dem Whitepaper vermuten viele Kritiker, dass mit dem einseitigen Disclosure-Prozess der Aktienkurs von AMD manipuliert werden sollte, um schnelles Geld zu verdienen.

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Über die gemeldeten Probleme wird nach wie vor diskutiert. Für eine Ausnutzung gibt es recht hohe Hürden, so muss einmal das Bios/UEFI neu geflasht werden, für die anderen Exploits werden bereits Administratorrechte benötigt. Einige Sicherheitsforscher wie Dan Guido gehen allerdings davon aus, dass eine kurzzeitige Kompromittierung auf diesem Wege dauerhaft etabliert werden könnte ('Persistenz'). Bislang konnten nur wenige Forscher die Exploits selbst in Augenschein nehmen.

Tatsächlich sind die vorgestellten Lücken wohl durchaus valide Angriffe auf den Plattform Security Processor von AMD. Da der PSP auf einen ARM-Prozessor (Cortex-A5) zurückgreift, könnten auch andere Plattformen betroffen sein. Kritisiert wurden von den meisten auch nicht die Sicherheitslücken an sich, sondern die irreführende und teils gezielt überzogene Darstellung der Folgen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


1st1 16. Mär 2018

https://www.heise.de/security/meldung/Hintertueren-in-USB-Controllern-auch-in-Intel...

David64Bit 15. Mär 2018

Vor allem ist das dann kein AMD spezifisches Problem. Ein gehacktes Bios kann ich genau...

gutenmorgen123 15. Mär 2018

Das geht viel einfacher und sicherer, nennt sich "short gehen" https://www.gevestor.de...

pica 15. Mär 2018

oder müssen die Mitarbeiter immer noch in einem virtuellen, per GreenScreen projiziertem...

David64Bit 15. Mär 2018

Da denke ich aber, dass sich das relativ einfach mit Codeabgleich lösen lässt...



Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Adobe Max 2021: Mehr KI-Funktionen in Photoshop und Premiere Pro
    Adobe Max 2021
    Mehr KI-Funktionen in Photoshop und Premiere Pro

    Adobe hat eine bessere Objektauswahl und einfacheres Kolorieren in Photoshop sowie Optionen für Musikremixing in Premiere Pro vorgestellt.

  2. Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
    Rockstar Games
    Neue GTA Trilogy läuft auch auf älterer PC-Hardware

    Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

  3. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Nintendo Switch OLED 369,99€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 ab 2.249€ • EA-Spiele günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /