News Prozessor

AMD listet immerhin 31 neue CPU-Schwachstellen auf und gibt Patch-Anleitungen heraus

AMD hat in einem Update im Januar 31 neue CPU-Schwachstellen bekannt gegeben, die sowohl die Ryzen-Chips für Privatanwender als auch die EPYC-Prozessoren für Rechenzentren betreffen. Das Schwachstellen-Update enthält auch eine umfangreiche Liste der AGESA-Versionen mit Abhilfemaßnahmen für die betroffenen Prozessoren. AMD enthüllte die Schwachstellen in einer koordinierten Offenlegung mit mehreren Forschern, darunter Teams von Google, Apple und Oracle, was dem Unternehmen Zeit gab, Abhilfemaßnahmen zu entwickeln, bevor sie öffentlich bekannt gegeben wurden. AMD hat die Schwachstellen jedoch nicht in einer Pressemitteilung oder auf andere Weise bekannt gegeben, sondern lediglich die Listen veröffentlicht, was allerdings so üblich ist.

Quelle: Fritzchens Fritz

AMD hat die verschiedenen AGESA-Revisionen aufgelistet, die es an seine OEMs herausgegeben hat, um die Sicherheitslücken zu schließen (AGESA-Code wird zur Erstellung von BIOS/UEFI-Code verwendet). Die Verfügbarkeit neuer BIOS-Patches mit dem neuen AGESA-Code ist jedoch je nach Hersteller unterschiedlich. Das bedeutet, dass man sich bei seinem Motherboard- oder Systemhersteller erkundigen muss, ob er neue BIOS-Versionen mit dem richtigen AGESA-Code veröffentlicht hat. AMD teilt mit, dass das Unternehmen normalerweise zweimal im Jahr, im Mai und im November, über Schwachstellen informiert, sich aber aufgrund der relativ großen Anzahl neuer Schwachstellen und des Zeitpunkts der Entschärfungen dazu entschlossen hat, einige davon bereits jetzt im Januar zu veröffentlichen.

Es ist noch nicht klar, ob es Leistungseinbußen geben wird, wie wir sie bei anderen Abhilfemaßnahmen wie Spectre und Meltdown gesehen haben. Wie schon bei älteren Systemen geschehen, werden einige möglicherweise nicht aktualisiert. Es scheint zudem auch, dass es für einige betroffene Modelle noch keine Abhilfemaßnahmen gibt.

Quelle: AMD

Die Schwachstellen umfassen drei neue Varianten für die Ryzen-Desktop-PCs, HEDT-, Pro- und Mobile-Prozessoren für Verbraucher. Eine der Schwachstellen ist als hochgradig eingestuft, während die beiden anderen als mittelschwer oder gering eingestuft sind. Diese Schwachstellen können entweder durch BIOS-Hacks oder durch einen Angriff auf den AMD Secure Processor (ASP) Bootloader ausgenutzt werden. Die Schwachstellen betreffen die Pinnacle-Ridge-Desktop-Chips der Ryzen-2000-Serie sowie die APU-Produktlinien der 2000er- und 5000er-Serie, die mit integrierter Grafik ausgestattet sind (Raven Ridge, Cezanne). Darüber hinaus sind auch AMDs Threadripper 2000- und 3000-Serien HEDT- und Pro-Prozessoren betroffen, sowie zahlreiche mobile Ryzen 2000-, 3000-, 5000-, 6000- und Athlon 3000-Prozessoren.

Quelle: AMD

AMD hat außerdem 28 Schwachstellen für seine EPYC-Prozessoren aufgelistet, von denen vier einen hohen Schweregrad aufweisen. Drei der Varianten mit hohem Schweregrad ermöglichen die Ausführung von beliebigem Code über verschiedene Angriffsvektoren, während eine das Schreiben von Daten in bestimmte Regionen ermöglicht, was zu einem Verlust der Datenintegrität und -verfügbarkeit führen kann. Auserdem entdeckten die Forscher 15 weitere Schwachstellen, die als mittelschwer eingestuft werden, und neun Schwachstellen mit geringem Schweregrad.

Forscher werden angesichts des jüngsten Erfolgs von AMD, das Intel Marktanteile abgenommen hat, vor allem auf dem Markt für sicherheitsrelevante Rechenzentren, auf der Suche nach potenziellen Sicherheitslücken verstärkt auf AMDs Architekturen achten. AMD hat in der jüngsten Vergangenheit auch mehrere andere neue Sicherheitslücken aufgedeckt, darunter eine Meltdown-ähnliche Variante, die eine Neukodierung der Software erfordert, sowie Hertzbleed und Take A Way.

Quelle: AMD (1) und (2) via Tom’s Hardware

Kommentar

Lade neue Kommentare

R
RazielNoir

Veteran

312 Kommentare 105 Likes

Gibt es diese Liste auch für Intel und ARM?

Antwort Gefällt mir

c
cunhell

Urgestein

545 Kommentare 499 Likes

Einige der Schwachstellen sind ja schon mit älteren AGESA-Codes gefixed. CVE‑2021‑26316, der einzige mit der Einstufung high für die Client-Prozessoren, ist schon mir 1.2.0.4 gefixed. Allerdings wird es Spannend, wie viele Boardhersteller noch die 1.2.0.8 für AM4 bringen um alle veröffentlichten CVEs zu fixen.

Cunhell

Antwort Gefällt mir

Igor Wallossek

1

10,103 Kommentare 18,586 Likes
R
RazielNoir

Veteran

312 Kommentare 105 Likes

;) :ROFLMAO:

Schon klar. Wobei das in dem gegenseitigen Bashing für AMD ein gefundenes Fressen wäre, eine längere Liste veröffentlichen zu können als die eigene...

Nein im Ernst: Veröffentlichen Intel und ARM bzw. die Lizenznehmer wie Qualcomm auch solche Listen?

Antwort Gefällt mir

S
Sockrattes

Mitglied

18 Kommentare 14 Likes

Meines Wissens sind die meisten solcher Fehler für den Standard-Nutzer nicht von belang. Diese Fehler existieren ja nicht mit dem Beginn ihrer Offenlegung, sondern schon viel länger. Ohne größere Konsequenzen. Nur bei Firmen und Behörden sind solche Sicherheitslücken hoch brisant.
Für den Normalo Nutzer ist der beste Schutz: Nicht immer gleich jeden Anhang einer Email öffnen, Ad-Blocker und Scriptschutz im Browser nutzen und nicht auf dubiosen Seiten herumschleichen.^^

Als ob jetzt in meinem Fall AMD und Asus ein Bios/UEFI-Update bringen oder nicht... mir relativ egal.

Antwort Gefällt mir

c
cunhell

Urgestein

545 Kommentare 499 Likes

Nur kannst Du als Standard-Nutzer im Normalfall nicht beurteilen, ob der Fehler für Dich relevant ist oder nicht. Sobald der Fehler relativ einfach remote, also ohne physischen Zugriff oder existierenden Account auf dem Rechner, ausgenutzt werden kann, ist er auch für den Normaluser von belang. Da reicht ggf. schon eine kompromitierte Webseite.
Das man nicht sinnlos auf alles Klicken sollte, was so reinkommt versteht sich von selbst. Egal ob Weblink oder Attachment.

Cunhell

Antwort Gefällt mir

D
Denniss

Urgestein

1,496 Kommentare 543 Likes

Wenn ich das richtig lese dann scheint 1.2.0.8 bei AM4 nur relevant für die 5000G-Modelle zu sein, nicht aber für die normalen Desktop-5000er

Antwort Gefällt mir

c
cunhell

Urgestein

545 Kommentare 499 Likes

Sehe ich auch so. Blöderweise habe ich einen 5600G :)

Antwort Gefällt mir

e
eastcoast_pete

Urgestein

1,398 Kommentare 765 Likes

Für Intel, z.B. hier: https://www.intel.com/content/www/us/en/security-center/default.html
Bei ARM weiß ich's nicht so genau, da wird das uU den jeweiligen SoC Herstellern (Qualcomm, Mediatek, und den ARM Server CPU Herstellern) überlassen.
Als Nachtrag: Auf eine etwaige Schlammschlacht werden sowohl AMD als auch Intel hier wohlweislich verzichten. Sicherheitsgeschichten können jeden Hersteller jederzeit treffen; als Beispiel hier: Mac (Apple). Jahrelang hatte ich von Mac Usern gehört, das irgendwelche Virus- oder Malware-Geschichten einen nur deshalb betreffen können, weil man PCs (Windows) benutzt - "get a Mac". Bis dann Malware Schreiber eben auch Macs entdeckt haben; denn immun ist da (leider) keiner.

Antwort Gefällt mir

MeinBenutzername

Veteran

209 Kommentare 74 Likes

Für mich ist das schon umfangreich, aber das macht es wohl aus, wenn man mit anderen sich zusammen tut und auf Problemsuche geht.
Wie schnell kommen den in der Regel neue Bios-Versionen raus, nachdem soetwas publik gemacht wurde?

Antwort Gefällt mir

S
Senfgurke

Mitglied

28 Kommentare 5 Likes

Und nu? Keine 7800X3D? Ohne BIOS-Update?

Antwort Gefällt mir

Danke für die Spende



Du fandest, der Beitrag war interessant und möchtest uns unterstützen? Klasse!

Hier erfährst Du, wie: Hier spenden.

Hier kannst Du per PayPal spenden.

About the author

Samir Bashir

Werbung

Werbung