Umstrittene Sicherheitslücken: AMD kündigt Ryzenfall-Patches an

Der Prozessorhersteller AMD will Schwachstellen in Ryzen- und Epyc-CPUs beheben. Die Veröffentlichung der Bugs hatte in der Sicherheitsszene für Diskussionen gesorgt.

Artikel veröffentlicht am ,
AMD will mehrere Sicherheitslücken schließen.
AMD will mehrere Sicherheitslücken schließen. (Bild: AMD)

AMD will mehrere Schwachstellen in der Firmware und im Platform Security Processor (PSP) aktueller Ryzen- und Epyc-Prozessoren beheben. Zuvor hatte es Auseinandersetzungen um die Art und Weise der Offenlegung der Schwachstellen gegeben. Die bislang unbekannte Firma CTS-Labs aus Israel hatte diese ohne vorherige Information an AMD veröffentlicht, außerdem verkauft das Unternehmen Berichte über angebliche Schwachstellen nach eigener Aussage an Investoren und Analysten.

Stellenmarkt
  1. Embedded Software Developer / Engineer (m/f/d)
    OTT Hydromet GmbH, Kempten
  2. Product Configuration Manager (w/m/d)
    WILO SE, Dortmund
Detailsuche

Die drei verschiedenen Schwachstellen im PSP sollen durch ein Firmware-Update behoben werden, das in "den kommenden Wochen" erscheinen soll. Die Bugs mit den Namen Ryzenfall und Fallout ermöglichen einem Angreifer, unvertrauten Code in dem PSP auszuführen. Dazu sind allerdings bereits Administratorrechte erforderlich. Die Bugs könnten also nach einem erfolgreichen Angriff genutzt werden, um Persistenz zu erlangen, aber wohl nicht als initiales Einfallstor.

Asmedia-Bug könnte weitere Hersteller betreffen

Eine Schwachstelle mit dem Namen Chimera betrifft Chips des Herstellers Asmedia, die unter anderem für die Funktionen des PSP genutzt werden. Grundsätzlich sollten sich diese Probleme auch bei anderen Herstellern ausnutzen lassen, wenn sie den gleichen Cortex a5 verwenden.

Eine weitere Schwachstelle mit dem Namen Masterkey benötigt für einen erfolgreichen Exploit die Installation eines neuen BIOS/UEFI. Dieser Angriff sollte also in der Praxis recht komplex umzusetzen sein. Prozessoren und Hardware-Bugs sind ein Forschungsfeld, das in den vergangenen Jahren mehr Aufmerksamkeit gewonnen hat. Im vergangenen Jahr hatten Forscher zahlreiche Schwachstellen in Intels Management Engine gefunden, in diesem Jahr wurden Meltdown und Spectre bekannt. Schon länger beschäftigen sich Sicherheitsforscher mit Angriffen der Rowhammer-Klasse.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Die Veröffentlichung der AMD-Bugs hatte in der Szene für viel Aufregung gesorgt, vor allem weil die Schwachstellen ohne übliches Disclosure-Verfahren veröffentlicht wurden und auch keine CVE-Nummer beantragt wurde. Einige Sicherheitsforscher hatten die Schwachstellen zwar bestätigt, damit aber nicht für ein Ende der Diskussion gesorgt. Linux-Entwickler Linus Torvalds hatte gesagt, dass die Veröffentlichung "mehr nach Aktienmanipulation aussieht als nach Security-Advisory."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Das nächste große Update für Windows 10 kommt im November

Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

Microsoft: Das nächste große Update für Windows 10 kommt im November
Artikel
  1. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

  2. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

  3. Bis Ende 2022: VW-Manager müssen wegen Chipkrise Verbrenner fahren
    Bis Ende 2022
    VW-Manager müssen wegen Chipkrise Verbrenner fahren

    2022 werden VWs Manager den Kurs des Unternehmenschefs Herbert Diess nicht fahren können - Elektroautos und Hybride können als Dienstwagen nicht bestellt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /