• IT-Karriere:
  • Services:

Umstrittene Sicherheitslücken: AMD kündigt Ryzenfall-Patches an

Der Prozessorhersteller AMD will Schwachstellen in Ryzen- und Epyc-CPUs beheben. Die Veröffentlichung der Bugs hatte in der Sicherheitsszene für Diskussionen gesorgt.

Artikel veröffentlicht am ,
AMD will mehrere Sicherheitslücken schließen.
AMD will mehrere Sicherheitslücken schließen. (Bild: AMD)

AMD will mehrere Schwachstellen in der Firmware und im Platform Security Processor (PSP) aktueller Ryzen- und Epyc-Prozessoren beheben. Zuvor hatte es Auseinandersetzungen um die Art und Weise der Offenlegung der Schwachstellen gegeben. Die bislang unbekannte Firma CTS-Labs aus Israel hatte diese ohne vorherige Information an AMD veröffentlicht, außerdem verkauft das Unternehmen Berichte über angebliche Schwachstellen nach eigener Aussage an Investoren und Analysten.

Stellenmarkt
  1. Bayerischer Verwaltungsgerichtshof, München
  2. SySS GmbH, Tübingen

Die drei verschiedenen Schwachstellen im PSP sollen durch ein Firmware-Update behoben werden, das in "den kommenden Wochen" erscheinen soll. Die Bugs mit den Namen Ryzenfall und Fallout ermöglichen einem Angreifer, unvertrauten Code in dem PSP auszuführen. Dazu sind allerdings bereits Administratorrechte erforderlich. Die Bugs könnten also nach einem erfolgreichen Angriff genutzt werden, um Persistenz zu erlangen, aber wohl nicht als initiales Einfallstor.

Asmedia-Bug könnte weitere Hersteller betreffen

Eine Schwachstelle mit dem Namen Chimera betrifft Chips des Herstellers Asmedia, die unter anderem für die Funktionen des PSP genutzt werden. Grundsätzlich sollten sich diese Probleme auch bei anderen Herstellern ausnutzen lassen, wenn sie den gleichen Cortex a5 verwenden.

Eine weitere Schwachstelle mit dem Namen Masterkey benötigt für einen erfolgreichen Exploit die Installation eines neuen BIOS/UEFI. Dieser Angriff sollte also in der Praxis recht komplex umzusetzen sein. Prozessoren und Hardware-Bugs sind ein Forschungsfeld, das in den vergangenen Jahren mehr Aufmerksamkeit gewonnen hat. Im vergangenen Jahr hatten Forscher zahlreiche Schwachstellen in Intels Management Engine gefunden, in diesem Jahr wurden Meltdown und Spectre bekannt. Schon länger beschäftigen sich Sicherheitsforscher mit Angriffen der Rowhammer-Klasse.

Die Veröffentlichung der AMD-Bugs hatte in der Szene für viel Aufregung gesorgt, vor allem weil die Schwachstellen ohne übliches Disclosure-Verfahren veröffentlicht wurden und auch keine CVE-Nummer beantragt wurde. Einige Sicherheitsforscher hatten die Schwachstellen zwar bestätigt, damit aber nicht für ein Ende der Diskussion gesorgt. Linux-Entwickler Linus Torvalds hatte gesagt, dass die Veröffentlichung "mehr nach Aktienmanipulation aussieht als nach Security-Advisory."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

My1 23. Mär 2018

naja jeder der nicht mehr zu sehen hatte als das was öffentlich war (AMD hatte ja erstmal...


Folgen Sie uns
       


Digitale Assistenten singen Weihnachtslieder (ohne Signalworte)

Wir haben Siri, den Google Assistant und Alexa aufgefordert, uns zu Weihnachten etwas vorzusingen.

Digitale Assistenten singen Weihnachtslieder (ohne Signalworte) Video aufrufen
Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen
  2. Support-Ende Neben Windows 7 ist jetzt auch Server 2008 unsicher
  3. Sprachaufnahmen Gespräche von Skype praktisch ohne Datenschutz analysiert

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

    •  /