Abo
  • Services:

Ryzenfall: CTS Labs rechtfertigt sich für seine Disclosure-Strategie

Das umstrittene Sicherheitsunternehmen CTS Labs findet seine Disclosure-Strategie bei Sicherheitslücken in Ryzen- und Epyc-Chips richtig. Das Unternehmen äußert grundlegende Kritik am Industriemodell der Responsible Disclosure.

Artikel veröffentlicht am ,
Sicherheitslücken in Ryzen-CPUs haben für Diskussionen gesorgt.
Sicherheitslücken in Ryzen-CPUs haben für Diskussionen gesorgt. (Bild: Marc Sauter/Golem.de)

Angeblich "tödliche" Sicherheitslücken in aktuellen Ryzen- und Eypc-Chips von AMD haben in dieser Woche für Diskussionen in der Sicherheitsszene gesorgt. Die Probleme wurden von einer eher unbekannten israelischen Sicherheitsfirma ohne vorherige Warnung veröffentlicht.

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. Hanseatisches Personalkontor, Schwenningen

Der CTO des Unternehmens CTS Labs, Ilia Luk-Zilberman, kritisiert in einem offenen Brief, dass die meisten Hersteller ihre Nutzer nicht über ein mögliches Problem informieren, nachdem dieses gemeldet wurde. In diesem Zeitraum, der je nach Auslegung der Regeln meist zwischen 45 und 90 Tagen liegt, habe der Hersteller die gesamte Kontrolle über den Prozess.

Luk-Zilberman schlägt vor, künftig bereits an Tag 0 grundlegende Informationen und einen detaillierten Bericht mit technischen Details bereitzustellen, nachdem das Problem behoben wurde. Kritiker hatten bemängelt, dass CTS Labs AMD nur sehr wenig Zeit gegeben hatte, um auf das Problem zu reagieren. Grundsätzlich kann auch die Veröffentlichung weniger Informationen dazu führen, dass Angreifer Sicherheitslücken per Reverse-Engineering finden und ausnutzen, bevor sie geschlossen werden.

Kritiker vermuten gezielte Kursmanipulation

Außerdem hatte das Unternehmen zugegeben, Berichte über Sicherheitsprobleme gegen Geld auch Hedgefonds oder anderen Händlern bereitzustellen. Wegen der unzureichenden Details und der Verwendung bestimmter Wörter in dem Whitepaper vermuten viele Kritiker, dass mit dem einseitigen Disclosure-Prozess der Aktienkurs von AMD manipuliert werden sollte, um schnelles Geld zu verdienen.

Über die gemeldeten Probleme wird nach wie vor diskutiert. Für eine Ausnutzung gibt es recht hohe Hürden, so muss einmal das Bios/UEFI neu geflasht werden, für die anderen Exploits werden bereits Administratorrechte benötigt. Einige Sicherheitsforscher wie Dan Guido gehen allerdings davon aus, dass eine kurzzeitige Kompromittierung auf diesem Wege dauerhaft etabliert werden könnte ('Persistenz'). Bislang konnten nur wenige Forscher die Exploits selbst in Augenschein nehmen.

Tatsächlich sind die vorgestellten Lücken wohl durchaus valide Angriffe auf den Plattform Security Processor von AMD. Da der PSP auf einen ARM-Prozessor (Cortex-A5) zurückgreift, könnten auch andere Plattformen betroffen sein. Kritisiert wurden von den meisten auch nicht die Sicherheitslücken an sich, sondern die irreführende und teils gezielt überzogene Darstellung der Folgen.



Anzeige
Hardware-Angebote
  1. 127,85€ + Versand
  2. bei Alternate.de
  3. für 147,99€ statt 259,94€
  4. 229,90€ + 5,99€ Versand

1st1 16. Mär 2018 / Themenstart

https://www.heise.de/security/meldung/Hintertueren-in-USB-Controllern-auch-in-Intel...

David64Bit 15. Mär 2018 / Themenstart

Vor allem ist das dann kein AMD spezifisches Problem. Ein gehacktes Bios kann ich genau...

gutenmorgen123 15. Mär 2018 / Themenstart

Das geht viel einfacher und sicherer, nennt sich "short gehen" https://www.gevestor.de...

pica 15. Mär 2018 / Themenstart

oder müssen die Mitarbeiter immer noch in einem virtuellen, per GreenScreen projiziertem...

David64Bit 15. Mär 2018 / Themenstart

Da denke ich aber, dass sich das relativ einfach mit Codeabgleich lösen lässt...

Kommentieren


Folgen Sie uns
       


Far Cry 5 - Fazit

Im Fazit zu Far Cry 5 zeigen wir dumme Gegner, schöne Grafik und erklären, wie Ubisoft erneut viel Potenzial verschenkt.

Far Cry 5 - Fazit Video aufrufen
Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

    •  /