Abo
  • Services:

Umstrittene Sicherheitslücken: AMD kündigt Ryzenfall-Patches an

Der Prozessorhersteller AMD will Schwachstellen in Ryzen- und Epyc-CPUs beheben. Die Veröffentlichung der Bugs hatte in der Sicherheitsszene für Diskussionen gesorgt.

Artikel veröffentlicht am ,
AMD will mehrere Sicherheitslücken schließen.
AMD will mehrere Sicherheitslücken schließen. (Bild: AMD)

AMD will mehrere Schwachstellen in der Firmware und im Platform Security Processor (PSP) aktueller Ryzen- und Epyc-Prozessoren beheben. Zuvor hatte es Auseinandersetzungen um die Art und Weise der Offenlegung der Schwachstellen gegeben. Die bislang unbekannte Firma CTS-Labs aus Israel hatte diese ohne vorherige Information an AMD veröffentlicht, außerdem verkauft das Unternehmen Berichte über angebliche Schwachstellen nach eigener Aussage an Investoren und Analysten.

Stellenmarkt
  1. Kratzer Automation AG, verschiedene Standorte
  2. infoteam Software AG, Bubenreuth bei Erlangen, Stuttgart

Die drei verschiedenen Schwachstellen im PSP sollen durch ein Firmware-Update behoben werden, das in "den kommenden Wochen" erscheinen soll. Die Bugs mit den Namen Ryzenfall und Fallout ermöglichen einem Angreifer, unvertrauten Code in dem PSP auszuführen. Dazu sind allerdings bereits Administratorrechte erforderlich. Die Bugs könnten also nach einem erfolgreichen Angriff genutzt werden, um Persistenz zu erlangen, aber wohl nicht als initiales Einfallstor.

Asmedia-Bug könnte weitere Hersteller betreffen

Eine Schwachstelle mit dem Namen Chimera betrifft Chips des Herstellers Asmedia, die unter anderem für die Funktionen des PSP genutzt werden. Grundsätzlich sollten sich diese Probleme auch bei anderen Herstellern ausnutzen lassen, wenn sie den gleichen Cortex a5 verwenden.

Eine weitere Schwachstelle mit dem Namen Masterkey benötigt für einen erfolgreichen Exploit die Installation eines neuen BIOS/UEFI. Dieser Angriff sollte also in der Praxis recht komplex umzusetzen sein. Prozessoren und Hardware-Bugs sind ein Forschungsfeld, das in den vergangenen Jahren mehr Aufmerksamkeit gewonnen hat. Im vergangenen Jahr hatten Forscher zahlreiche Schwachstellen in Intels Management Engine gefunden, in diesem Jahr wurden Meltdown und Spectre bekannt. Schon länger beschäftigen sich Sicherheitsforscher mit Angriffen der Rowhammer-Klasse.

Die Veröffentlichung der AMD-Bugs hatte in der Szene für viel Aufregung gesorgt, vor allem weil die Schwachstellen ohne übliches Disclosure-Verfahren veröffentlicht wurden und auch keine CVE-Nummer beantragt wurde. Einige Sicherheitsforscher hatten die Schwachstellen zwar bestätigt, damit aber nicht für ein Ende der Diskussion gesorgt. Linux-Entwickler Linus Torvalds hatte gesagt, dass die Veröffentlichung "mehr nach Aktienmanipulation aussieht als nach Security-Advisory."

Zu den Kommentaren springen
Meistgelesen
  1. Geforce RTX 2080 (Ti) im Test
    Nvidias Turing-Grafikkarten sind konkurrenzlos
  2. Playstation Classic
    Sony bringt Miniversion der ersten Playstation für 100 Euro
  3. Apple
    iOS 12.1 verrät neues iPad Pro
  4. Smartphones
    Xiaomi bestätigt Werbung im Einstellungsmenü
  5. Sky Ticket mit TV Stick im Test
    Sky kann's gut, Netflix und Amazon können es besser
Anzeige
Blu-ray-Angebote
  1. 34,99€
Kommentarübersicht
Re: "Sicherheitsfirma veröffentlich Quatsch"
My1 23. Mär 2018

naja jeder der nicht mehr zu sehen hatte als das was öffentlich war (AMD hatte ja erstmal...

Folgen Sie uns
       
Motorola One angesehen (Ifa 2018)

Lenovo hat auf der Elektronikfachmesse Ifa 2018 sein neues Android-Smartphone Motorola One vorgestellt.

Motorola One angesehen (Ifa 2018) Video aufrufen
Schiff
Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen
Identitätsmanagement
Single Sign-on Made in Germany: Verimi, NetID oder ID4me?
Single Sign-on Made in Germany
Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

  1. Verimi Deutsche Konzerne starten Single Sign-on
Raumfahrt
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /