AMD listet immerhin 31 neue CPU-Schwachstellen auf und gibt Patch-Anleitungen heraus

AMD hat in einem Update im Januar 31 neue CPU-Schwachstellen bekannt gegeben, die sowohl die Ryzen-Chips für Privatanwender als auch die EPYC-Prozessoren für Rechenzentren betreffen. Das Schwachstellen-Update enthält auch eine umfangreiche Liste der AGESA-Versionen mit Abhilfemaßnahmen für die betroffenen Prozessoren. AMD enthüllte die Schwachstellen in einer koordinierten Offenlegung mit mehreren Forschern, darunter Teams von Google, Apple und Oracle, was dem Unternehmen Zeit gab, Abhilfemaßnahmen zu entwickeln, bevor sie öffentlich bekannt gegeben wurden. AMD hat die Schwachstellen jedoch nicht in einer Pressemitteilung oder auf andere Weise bekannt gegeben, sondern lediglich die Listen veröffentlicht, was allerdings so üblich ist.

AMD hat die verschiedenen AGESA-Revisionen aufgelistet, die es an seine OEMs herausgegeben hat, um die Sicherheitslücken zu schließen (AGESA-Code wird zur Erstellung von BIOS/UEFI-Code verwendet). Die Verfügbarkeit neuer BIOS-Patches mit dem neuen AGESA-Code ist jedoch je nach Hersteller unterschiedlich. Das bedeutet, dass man sich bei seinem Motherboard- oder Systemhersteller erkundigen muss, ob er neue BIOS-Versionen mit dem richtigen AGESA-Code veröffentlicht hat. AMD teilt mit, dass das Unternehmen normalerweise zweimal im Jahr, im Mai und im November, über Schwachstellen informiert, sich aber aufgrund der relativ großen Anzahl neuer Schwachstellen und des Zeitpunkts der Entschärfungen dazu entschlossen hat, einige davon bereits jetzt im Januar zu veröffentlichen.

Es ist noch nicht klar, ob es Leistungseinbußen geben wird, wie wir sie bei anderen Abhilfemaßnahmen wie Spectre und Meltdown gesehen haben. Wie schon bei älteren Systemen geschehen, werden einige möglicherweise nicht aktualisiert. Es scheint zudem auch, dass es für einige betroffene Modelle noch keine Abhilfemaßnahmen gibt.

Die Schwachstellen umfassen drei neue Varianten für die Ryzen-Desktop-PCs, HEDT-, Pro- und Mobile-Prozessoren für Verbraucher. Eine der Schwachstellen ist als hochgradig eingestuft, während die beiden anderen als mittelschwer oder gering eingestuft sind. Diese Schwachstellen können entweder durch BIOS-Hacks oder durch einen Angriff auf den AMD Secure Processor (ASP) Bootloader ausgenutzt werden. Die Schwachstellen betreffen die Pinnacle-Ridge-Desktop-Chips der Ryzen-2000-Serie sowie die APU-Produktlinien der 2000er- und 5000er-Serie, die mit integrierter Grafik ausgestattet sind (Raven Ridge, Cezanne). Darüber hinaus sind auch AMDs Threadripper 2000- und 3000-Serien HEDT- und Pro-Prozessoren betroffen, sowie zahlreiche mobile Ryzen 2000-, 3000-, 5000-, 6000- und Athlon 3000-Prozessoren.

AMD hat außerdem 28 Schwachstellen für seine EPYC-Prozessoren aufgelistet, von denen vier einen hohen Schweregrad aufweisen. Drei der Varianten mit hohem Schweregrad ermöglichen die Ausführung von beliebigem Code über verschiedene Angriffsvektoren, während eine das Schreiben von Daten in bestimmte Regionen ermöglicht, was zu einem Verlust der Datenintegrität und -verfügbarkeit führen kann. Auserdem entdeckten die Forscher 15 weitere Schwachstellen, die als mittelschwer eingestuft werden, und neun Schwachstellen mit geringem Schweregrad.

Forscher werden angesichts des jüngsten Erfolgs von AMD, das Intel Marktanteile abgenommen hat, vor allem auf dem Markt für sicherheitsrelevante Rechenzentren, auf der Suche nach potenziellen Sicherheitslücken verstärkt auf AMDs Architekturen achten. AMD hat in der jüngsten Vergangenheit auch mehrere andere neue Sicherheitslücken aufgedeckt, darunter eine Meltdown-ähnliche Variante, die eine Neukodierung der Software erfordert, sowie Hertzbleed und Take A Way.

Quelle: AMD (1) und (2) via Tom’s Hardware