CPU Latest news

AMD still lists 31 new CPU vulnerabilities and issues patch instructions

AMD disclosed 31 new CPU vulnerabilities in an update in January, affecting both the Ryzen chips for home users and the EPYC processors for data centers. The vulnerability update also includes a comprehensive list of AGESA versions with workarounds for the affected processors. AMD disclosed the vulnerabilities in a coordinated disclosure with multiple researchers, including teams from Google, Apple and Oracle, giving the company time to develop remedies before they were publicly disclosed. However, AMD did not announce the vulnerabilities in a press release or in any other way, but only published the lists, which is, however, so common.

Source: Fritzchens Fritz

AMD has listed the various AGESA revisions it has issued to its OEMs to address the vulnerabilities (AGESA code is used to create BIOS/UEFI code). However, the availability of new BIOS patches with the new AGESA code varies depending on the manufacturer. This means checking with your motherboard or system manufacturer to see if they have released new BIOS versions with the correct AGESA code. AMD says that it normally reports vulnerabilities twice a year, in May and November, but has decided to release some of them now in January due to the relatively large number of new vulnerabilities and the timing of the mitigations.

It’s not yet clear if there will be performance degradation like we’ve seen with other remedies like Spectre and Meltdown. As has happened with older systems, some may not be updated. It also appears that there are no remedies yet for some affected models.

Source: AMD

The vulnerabilities include three new variants for the Ryzen desktop PCs, HEDT, Pro and Mobile processors for consumers. One of the vulnerabilities is rated as high severity, while the other two are rated as medium or low severity. These vulnerabilities can be exploited either by BIOS hacks or by attacking the AMD Secure Processor (ASP) bootloader. The vulnerabilities affect the Ryzen 2000 series Pinnacle Ridge desktop chips as well as the 2000 and 5000 series APU product lines that feature integrated graphics (Raven Ridge, Cezanne). In addition, AMD’s Threadripper 2000- and 3000-series HEDT and Pro processors are also affected, as well as numerous Ryzen 2000-, 3000-, 5000-, 6000- and Athlon 3000-series mobile processors.

Source: AMD

AMD has also listed 28 vulnerabilities for its EPYC processors, four of which are of high severity. Three of the high severity variants allow execution of arbitrary code through various attack vectors, while one allows data to be written to specific regions, which can lead to loss of data integrity and availability. In addition, the researchers discovered 15 other vulnerabilities classified as medium severity and nine vulnerabilities with low severity.

Researchers will be looking more closely at AMD’s architectures in search of potential security vulnerabilities given its recent success in taking market share from Intel, especially in the security-critical data center market. AMD has also uncovered several other new vulnerabilities in the recent past, including a Meltdown-like variant that requires software recoding, as well as Hertzbleed and Take A Way.

Source: AMD (1) and (2) via Tom’s Hardware

Kommentar

Lade neue Kommentare

R
RazielNoir

Veteran

472 Kommentare 230 Likes

Gibt es diese Liste auch für Intel und ARM?

Antwort Gefällt mir

c
cunhell

Urgestein

574 Kommentare 546 Likes

Einige der Schwachstellen sind ja schon mit älteren AGESA-Codes gefixed. CVE‑2021‑26316, der einzige mit der Einstufung high für die Client-Prozessoren, ist schon mir 1.2.0.4 gefixed. Allerdings wird es Spannend, wie viele Boardhersteller noch die 1.2.0.8 für AM4 bringen um alle veröffentlichten CVEs zu fixen.

Cunhell

Antwort Gefällt mir

Igor Wallossek

1

10,840 Kommentare 20,532 Likes
R
RazielNoir

Veteran

472 Kommentare 230 Likes

;) :ROFLMAO:

Schon klar. Wobei das in dem gegenseitigen Bashing für AMD ein gefundenes Fressen wäre, eine längere Liste veröffentlichen zu können als die eigene...

Nein im Ernst: Veröffentlichen Intel und ARM bzw. die Lizenznehmer wie Qualcomm auch solche Listen?

Antwort Gefällt mir

S
Sockrattes

Mitglied

20 Kommentare 20 Likes

Meines Wissens sind die meisten solcher Fehler für den Standard-Nutzer nicht von belang. Diese Fehler existieren ja nicht mit dem Beginn ihrer Offenlegung, sondern schon viel länger. Ohne größere Konsequenzen. Nur bei Firmen und Behörden sind solche Sicherheitslücken hoch brisant.
Für den Normalo Nutzer ist der beste Schutz: Nicht immer gleich jeden Anhang einer Email öffnen, Ad-Blocker und Scriptschutz im Browser nutzen und nicht auf dubiosen Seiten herumschleichen.^^

Als ob jetzt in meinem Fall AMD und Asus ein Bios/UEFI-Update bringen oder nicht... mir relativ egal.

Antwort Gefällt mir

c
cunhell

Urgestein

574 Kommentare 546 Likes

Nur kannst Du als Standard-Nutzer im Normalfall nicht beurteilen, ob der Fehler für Dich relevant ist oder nicht. Sobald der Fehler relativ einfach remote, also ohne physischen Zugriff oder existierenden Account auf dem Rechner, ausgenutzt werden kann, ist er auch für den Normaluser von belang. Da reicht ggf. schon eine kompromitierte Webseite.
Das man nicht sinnlos auf alles Klicken sollte, was so reinkommt versteht sich von selbst. Egal ob Weblink oder Attachment.

Cunhell

Antwort Gefällt mir

D
Denniss

Urgestein

1,630 Kommentare 609 Likes

Wenn ich das richtig lese dann scheint 1.2.0.8 bei AM4 nur relevant für die 5000G-Modelle zu sein, nicht aber für die normalen Desktop-5000er

Antwort Gefällt mir

c
cunhell

Urgestein

574 Kommentare 546 Likes

Sehe ich auch so. Blöderweise habe ich einen 5600G :)

Antwort Gefällt mir

e
eastcoast_pete

Urgestein

1,826 Kommentare 1,141 Likes

Für Intel, z.B. hier: https://www.intel.com/content/www/us/en/security-center/default.html
Bei ARM weiß ich's nicht so genau, da wird das uU den jeweiligen SoC Herstellern (Qualcomm, Mediatek, und den ARM Server CPU Herstellern) überlassen.
Als Nachtrag: Auf eine etwaige Schlammschlacht werden sowohl AMD als auch Intel hier wohlweislich verzichten. Sicherheitsgeschichten können jeden Hersteller jederzeit treffen; als Beispiel hier: Mac (Apple). Jahrelang hatte ich von Mac Usern gehört, das irgendwelche Virus- oder Malware-Geschichten einen nur deshalb betreffen können, weil man PCs (Windows) benutzt - "get a Mac". Bis dann Malware Schreiber eben auch Macs entdeckt haben; denn immun ist da (leider) keiner.

Antwort Gefällt mir

MeinBenutzername

Veteran

215 Kommentare 76 Likes

Für mich ist das schon umfangreich, aber das macht es wohl aus, wenn man mit anderen sich zusammen tut und auf Problemsuche geht.
Wie schnell kommen den in der Regel neue Bios-Versionen raus, nachdem soetwas publik gemacht wurde?

Antwort Gefällt mir

S
Senfgurke

Mitglied

29 Kommentare 5 Likes

Und nu? Keine 7800X3D? Ohne BIOS-Update?

Antwort Gefällt mir

Danke für die Spende



Du fandest, der Beitrag war interessant und möchtest uns unterstützen? Klasse!

Hier erfährst Du, wie: Hier spenden.

Hier kannst Du per PayPal spenden.

About the author

Samir Bashir

Werbung

Werbung