• IT-Karriere:
  • Services:

Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD

Eine Firma aus Israel will spektakuläre Informationen zu Sicherheitslücken bei AMD veröffentlicht haben. Doch bei näherem Hinsehen erweist sich die Veröffentlichung selbst als missratene Sprungvorhersage.

Eine Analyse von veröffentlicht am
Die aktuellen Ryzen- und Epyc-CPUs von AMD sind furchtbar unsicher - nicht.
Die aktuellen Ryzen- und Epyc-CPUs von AMD sind furchtbar unsicher - nicht. (Bild: Marc Sauter/Golem.de)

Nach der großen Aufregung um die Sicherheitslücken Meltdown und Spectre folgt der nächste große Coup: Die aktuellen Ryzen- und Epyc-CPUs von AMD sind furchtbar unsicher - das jedenfalls will eine bislang vollkommen unbekannte Sicherheitsfirma aus Israel der Welt weismachen. Dabei trägt sie aber viel zu dick auf. Hinzu tritt eine Analystenfirma, die schon in der Vergangenheit mit zweifelhaften Veröffentlichungen auf sich aufmerksam gemacht hat und die deswegen bereits von der Deutschen Finanzaufsicht ermahnt wurde.

Inhalt:
  1. Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD
  2. Whitepaper von der Qualität eines ICO

Auf der Webseite AMDflaws.com listet das Unternehmen CTS-Labs 13 Schwachstellen mit 4 verschiedenen Namen auf. Alle mit eigenem Logo und für mediale Wahrnehmung hervorragend aufbereitet. Dieser Eindruck hält aber nur, bis man sich das Security-Whitepaper auf der Webseite herunterlädt und anschaut. Das Papier enthält tatsächlich sehr wenige technische Details und ist in keiner Weise mit den Untersuchungen zu Meltdown oder Spectre vergleichbar.

Die Webseite und auch der restliche Umfang der Veröffentlichungen lassen schnell Zweifel aufkommen. So wird in der gesamten Dokumentation keine einzige von MITRE vergebene CVE-Nummer erwähnt, außerdem hat offensichtlich kein Disclosure-Prozess stattgefunden - die Behauptungen, dass keine Patches oder Mitigationen für die Probleme bereitstehen, geht also voll auf das Konto der Entdecker. Hinter der Entdeckerfirma verbirgt sich neben einer Webseite nicht viel - auch bei LinkedIn finden sich nur drei Mitarbeiter. Die offensichtlichen Ungereimtheiten haben zahlreiche Medien allerdings nicht davon abgehalten, über die Webseite und das Unternehmen zu berichten.

Probleme sind nicht neu - oder werden übertrieben

Viele der dargestellten Probleme sind nicht neu - oder weniger kritisch, als beschrieben. Die Ryzenfall-Sicherheitslücke soll es einem Angreifer etwa ermöglichen, "die komplette Kontrolle" über AMDs Platform Security Prozessor (PSP) - vergleichbar mit Intels umstrittener Management Engine - zu erlangen. Außerdem sei es möglich, die Schutzmechanismen von Windows' Credential Guard zu umgehen.

Stellenmarkt
  1. InnoGames GmbH, Hamburg
  2. LORENZ Life Sciences Group, Frankfurt am Main

Tatsächlich müsste ein Angreifer aber bereits über Root-Rechte verfügen, um den Angriff durchführen zu können. Ein vergleichbarer Angriff wurde außerdem bereits Anfang Januar dieses Jahres vorgestellt - schon damals rieten Experten, nicht in Panik zu verfallen. Vergleichbare Angriffe ohne Notwendigkeit für Root-Zugriff gibt es bereits gegen Intels ME.

Mit dem Codenamen Chimera werden in dem Whitepaper angebliche Backdoors in dem von AMD verwendeten Promontory-Chipsatz (also X370, B450 und A320) beschrieben. Die Kritik zielt vor allem auf den Auftragshersteller von AMD, denn die Promontory wurden von Asmedia entwickelt. Die verwendeten Chips haben angeblich keinen Schutz gegen Exploits. Außerdem kritisieren die selbsternannten Forscher, dass der Chipsatz mit einem vom Hersteller signierten Treiber angesprochen werden kann. Beweise für konkrete Angriffe (Proof of Concept, PoC) bleiben allerdings aus.

Als Beleg für die Kritikwürdigkeit von Asmedia wird ein Vergleich mit der US-Behörde FTC erwähnt, dem zufolge das Unternehmen 20 Jahre lang Sicherheitsaudits durchführen muss. Unerwähnt bleibt, dass es sich dabei um das Routergeschäft der Mutterfirma Asus und die Firmware für die Geräte handelt - und nicht um die Fertigung von Chips oder Prozessoren von Asmedia.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Whitepaper von der Qualität eines ICO 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 285,71€ (Bestpreis!)
  2. (u. a. Surface Go ab 379,00€, Surface Pro 7 ab 764,00€, Surface Laptop 2 ab 999,00€)
  3. 21,00€ (Standard)/35,00€ (Gold)/42,00€ (Ultimate)
  4. 24,00€ (Ultimate)/12,00€ (Standard)/20,00€ (Gold)

gadthrawn 23. Mär 2018

auch ohne CVE ist eine Lücke eine Lücke - die übrigens AMD selbst bestätigt hat und...

gadthrawn 23. Mär 2018

Mittlerweile veröffentlicht AMD erste Patches für die Lücken, die AMD selbst übrigens...

gadthrawn 23. Mär 2018

veröffentlicht AMD Sicherheitspatches für die Lücken, die der Autor hier als Quatsch...

Tuxgamer12 21. Mär 2018

Also einfach mal schnell Artikel raushauen, der völlig ungeprüft und unkritisch...

Anonymer Nutzer 15. Mär 2018

nicht verkehrt. Die die rumtönen haben es meist eh vor und viele andere nehmen die...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

    •  /