AMD-CPUs weisen Sicherheitslücken auf

14.03.2018

Eine dubiose Website hat zahlreiche Sicherheitslücken in AMD-Prozessoren dokumentiert.

Die Website amdflaws.com hat ein gutes Dutzend Sicherheitslücken in AMD-CPUs der Baureihen Epyc, Ryzen, Ryzen Pro und Ryzen Mobile veröffentlicht. Hinter der Website steht die bisher unbekannte israelische Firma CTS Labs, die AMD anscheinend erst knapp 24 Stunden vor der Veröffentlichung über die Sicherheitslücken informiert hat. Dementsprechend steht eine ausführliche Stellungnahme des Chip-Herstellers noch aus.

Experten sind sich jedoch einig, dass die entdeckten Sicherheitslücken tatsächlich eine Bedrohung darstellen, auch wenn sie voraussetzen, dass Angreifer auf den betroffenen Systemen Root- respektive Administratorrechte besitzen, oder zum Teil schon länger bekannt sind.

CTS Labs hat die Sicherheitslücken in vier Kategorien namens Masterkey, Ryzenfall, Fallout und Chimera eingeteilt und in dem Whitepaper "Severe Security Advisory on AMD Processors" näher beschrieben. Masterkey erlaubt wie beschrieben die Installation von Malware im AMD Secure Processor, wofür es aber nötig ist das BIOS neu zu flashen. Mit Ryzenfall können Angreifer den Secure Processor übernehmen. Fallout ist eine Lücke im Bootloader, die es ermöglicht auch geschützre Speicherbereiche zu lesen. Chimera steht für eine Klasse von angeblichen Backdoors in den Prozessoren, die es Angreifern ermöglichen, eigenen Code auszuführen. Diese Lücke beruht aber auch auf Spekulationen über die Zusammenarbeit mit der Firma ASMedia, die in der Vergangenheit schön öfter durch entsprechende Sicherheitslücken aufgefallen sei, so CTS Labs.

Selbst das Whitepaper räumt ein, dass es sich bei der Offenlegung der Security-Probleme nicht unbedingt um Fakten handle, sondern um Meinungen nach "besten Wissen und Glauben". Außerdem, so das Whitepaper weiter, könne CTS Labs ein "wirtschaftliches Interesse an den Wertpapieren der in dem Report behandelten Firmen" haben. Im gleichen Tenor hat sich zwischenzeitlich auch eine Firma namens Viceroy Research zu Wort gemeldet, die im Licht der Veröffentlichungen den Wert von AMD auf null Dollar taxiert und der Firma die Anmeldung des Konkurses nahelegt.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

AMD: Alles halb so schlimm

Eine Woche nach der Veröffentlichung hat AMD die Veröffentlichung von CPU-Sicherheitslücken offiziell kommentiert.  

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020