News Bericht: AMD muss Statement zu angeblichen Sicherheitslücken geben

[Volker]

AMD hat in der Nacht eine Stellungnahme abgegeben, der zufolge der Hersteller angeblich gefundene Sicherheitslücken in allen modernen Prozessoren untersuchen wird. Das war notwendig geworden, nachdem Medien und Endanwender weltweit den fragwürdigen Report eines bisher unbekannten Sicherheitsunternehmens aufgegriffen hatten.

Zur News: Bericht: AMD muss Statement zu angeblichen Sicherheitslücken geben

 

[Maxon]

Glaube hier ist ein Fehler:

Nach den wiederholt unfundierten Berichten der vergangenen Woche über eine angebliche AMD-Übernahme ohne Details wie potentielle Kandidaten würde so ein Ansatz nicht auf fallende sondern auf sinkende Kurse setzen.

 

[Rambo5018]

Gefällt mir, dass man auf CB hier nicht dem Sensationalismus verfällt sondern erstmal stichhaltige Hinweise abwartet um so eine Einschätzung abgeben zu können.

Daumen hoch dafür!

 

[myrthain]

Danke für Eure wohlüberlegte Berichterstattung.

 

[smart-]

Was ist bei euch los cb?
Besserung in Sicht?

 

[usb2_2]

Mit physischem Zugang und Adminrechten braucht man auch echt kein Bios mehr modden. Da installiert man dann einfach was man will und gut ist. Diese "Lücken" sind also eh überflüssig. Niemand würde das nutzen ,wenn er eh Zugriff auf alles haben muss.

 

[<jACKtHErIPPER>]

"AMD hat in der Nacht eine Stellungnahme abgegeben,..."
edit: Alles klar. Schon erledigt.

 

[fanatiXalpha]

Das ist mir ebenfalls etwas "sauer" aufgestoßen.
könnte auch gut sein, dass es ein Störfeuer von Intel ist.
Die haben doch derletzt eine PR-Agentur wegen Meltdown und Spectre angeheuert.
War vielleicht ne Idee von denen...

 

[pipip]

Lustig ist doch, dass diese Sicherheitsfirma mehr Zeit gehabt hat, eine schöne Website zu erstellen als AMD an der Sicherheitslücke zu arbeiten. Sprich diese Firma hat schon Tage vor dem Informieren an einer fancy Seite mit tollen Namen gearbeitet.

 

[Nitschi66]

Sehr schön geschriebener Bericht und die verschiedenen Meldungen gut auf den Punkt gebracht! Die Einbeziehung von bekannten Größen (Google und Thorvalt) und die Erwähnung der Diskussion in euren eigenen Reihen gefällt mir auch sehr gut. Genau so und nicht anders sollte so ein Thema kommentiert werden!

 

[Iscaran]

Sehr guter und übersichtlicher Bericht !

Vielen Dank Volker und CB dafür !

Ihr könntet ja eventuell noch darauf hinweisen dass die Intel ME Lücken wie eben bsp. die von euch aufgeführte, aus dem USERSPACE ("unprivileged attacker") heraus funktioniert:
https://nvd.nist.gov/vuln/detail/CVE-2017-5689

"An unprivileged network attacker could gain system privileges to provisioned Intel manageability SKUs: Intel Active Management Technology (AMT) and Intel Standard Manageability (ISM). An unprivileged local attacker could provision manageability features gaining unprivileged network or local system privileges on Intel manageability SKUs: Intel Active Management Technology (AMT), Intel Standard Manageability (ISM), and Intel Small Business Technology (SBT)."

Das ist schon ein massiver unterschied zu der Lücke bei AMD wo man MINDESTENS als root-Admin eingelogged sein muss.

Außerdem hat AMD wohl auch aufgrund der Lücken in der Intel ME bereits BIOS updates zum "optionalen" deaktivieren der PSP begonnen auszurollen. Diese werden sicherlich nicht alle Boards erreichen, aber auch so...denke ich arbeitet man hier wirklich konsequent an sinnvollen verbesserungen für alle.
https://www.heise.de/newsticker/mel...gen-Ryzen-Mainboards-abschaltbar-3913635.html

 

[Tada100]

Habe gerade das Whitepaer überflogen - auch wenn ich selbst nicht alles gelesen/verstanden habe , kommt mir das PDF nicht sehr seriös vor.

Valix deine kommentare bzgl. Juden kannst du dir gleich mal sparen du ****.

Viel wichtiger ist aber eigemntlich das eine neue Sicherheitsfirma aus Israel ( eines der top 5 Länder Cybersecurity ) einfach so mal X sicherheitslücken gefunden hat , speziell bei AMD .
Aber viele andere Firmen aus dem bereich, haben nichtmal eine Sicherheitslücke gefunden oder bestätigt ... . Sehr vertrauenserweckend.

Aber falls diese Behauptungen stimmen, hat AMD ein echtes Problem.
Soweit ich gelesen habe wurde würde auch erst einer Dritten person einsicht in die Unterlagen von CTS-Labs erlaubt.

 

[pipip]

Interessant vor paar Wochen gab es eine Aussage von Dell gegenüber Zen-> Epyc/Ryzen.
Jetzt der "Vorfall".
Bin gespannt was wir in den nächsten paar Wochen "negatives" gegenüber Zen noch zu lesen bekommen ^^

Man muss aber kurz sagen, aktuell hat Ryzen allg ein gutes Images.

 

[psYcho-edgE]

Gestern schon einen Report bei OC3D gelesen. Dann die Website besucht. Die ganze Formulierung des Spaß' ist so suggestiv, dass es mir die Zehennägel aufrollt. Alleine die Passage mit den Informationen über die Ryzen Chipsets enthält für den Sachverhalt irrelevante Informationen über ASMedia:

AMD’s outsource partner, ASMedia, is a subsidiary of ASUSTeK Computer, a company with poor security track record that has been penalized by the Federal Trade Commission for neglecting security vulnerabilities, and must now undergo independent security audits for the next 20 years.

Die Sicherheitslücken traten seit dem Jahr 2013 in verschiedenen Komponenten der Router auf: in der webbasierten Verwaltungsoberfläche, außerdem bei den Diensten Aicloud und Aidisk. Diese sendeten persönliche Daten und Anmeldedaten von angeschlossenen USB-Sticks in der Standardeinstellung über unverschlüsselte FTP-Verbindungen quer durch das Internet. In der Folge übernahmen Hacker mindestens 12.900 Geräte.

Was die fünf Jahre alte, schlechte Software auf ASUS Routern mit ASMedia-Chipsätzen (die Lösungen für USB, S-ATA und PCIe herstellen) zu tun haben soll, außer dass man ein schlechtes Bild, das ASUS hinterlassen hat, über ASMedia auch AMD anhängen will, ist mir schleierhaft.


Die Domain von CTS Labs' Website https://www.amdflaws.com ist seit dem 22. Februar registriert. Das heißt sie müssten sich mindestens seitdem sicher sein, dass ihr Whitepaper stimmt - warum wurde AMD dort nicht bereits kontaktiert?


Warum enthält der YouTube-Kanal dieses "renommierten" Unternehmens nur zwei Videos? Davon ab ist das Interview-Video mit Mitarbeitern höchst "professionell" vor einem Greenscreen-Büro gehalten...


Warum kommt diese Meldung zufälligerweise zu einem Zeitpunkt, der kurz vor Ryzen 2000 liegt?


Wer mich kennt weiß, dass ich nicht viel von Verschwörungstheorien halte, weshalb ich für den Spaß nicht Intel verdächtige, aber das riecht mir einfach nur nach einer PR-Aktion für ein mittelmäßig erfolgreiches Security Lab...

Interessant vor paar Wochen gab es eine Aussage von Dell gegenüber Zen-> Epyc/Ryzen.
Jetzt der "Vorfall".

Wobei, vielleicht ist Intel nach der 1,3-Mrd-Schlappe vor dem EUGH etwas schlauer geworden und macht ein verstecktes "Inside-Programm". Passend zum Standort in Haifa ist ja CTS-Labs auch aus Israel
Wo eigentlich der Aluhut-Smiley? Der fehlt auf CB sehr eindeutig

 

[Mr.Smith]

würde so ein Ansatz nicht auf fallende sondern auf sinkende Kurse setzen.

ahja D
für mich eher raketenmäßig abgehende Kurse, bitte korrigieren.

 

[Zotac2012]

Ich denke, dass mittlerweile jeder Begriffen haben sollte, das weder Intel noch AMD 100% sicher sind, da spielt es auch keine Rolle, ob das zunächst nur Theoretisch oder später auch in der Praxis so ist. Wie haben 20 Jahre mit der Sicherheitslücke Meltdown und Spectre gelebt und keinen hat es interessiert, weil keiner wirklich das Ausmaß kannte, obwohl es immer wieder Hinweise diesbezüglich gab.

Erst als das Thema großgemacht wurde und auch in den Medien und entsprechenden Online Portalen dann ein Thema wurde, brach Hysterie aus. Für den Privat Nutzer ist es eigentlich völlig egal, denn die Hacker die solche Szenarien nutzen und kennen, wenn die wirklich auf einen bestimmten PC [Privat/Betrieb/Organisation/Ämter] zugreifen wollen, dann ist das überhaupt kein Problem, das sollte einem klar sein.

Ich will gar nicht wissen was die NSA und die anderen Geheimdienste so alles jeden Tag veranstalten, um auf die Daten der Internetnutzer zuzugreifen, da würde einem wahrscheinlich schlecht werden. So ist das halt in der heutigen Zeit, damit muss man leben, ob man will oder nicht!

 

[kullakehx]

@ComputerBase: Danke fürs warten und den besonnenen Artikel.

Hat jemand eine Übersicht zu den Prozessoren mit PSP? Also welche Architekturen, Modelle, Steppings und Produktionswochen betroffen sind. Es wird ab und zu gerüchtet dass es ab Richland losging, manche sagen auch ab Trinity. Würde mich sehr interessieren. (Gerne auch per PN.)

 

[zeedy]

Das Ganze ist höchst unseriös und schlicht skandalös. Kompliment an Computerbase, wie mit diesen "attention whores" umgegangen wurde.

Ich habe mir das Whitepaper angesehen. Da ist von Objektivität oder Seriösität keine Spur, man hat schlicht den Eindruck, man ist nur daran interessiert AMD in den Schmutz zu ziehen.
https://www.amdflaws.com/

Dazu kommen die albernen Bezeichnungen der angeblichen Sicherheitslücken (Ryzenfall), das geklaute Firmensymbol, die Firma, die aus 4 Leuten besteht und erst letztes Jahr gegründet wurde, der vor wenigen Tagen erstellte Youtube Account und das darin veröffentlichte Video zu diesen "Sicherheitslücken", die Beziehungen zu Shorting Companies.... usw usf. Wer keine Lust hat alles zu lesen, empfehle ich diese Zusammenfassung:
https://www.youtube.com/watch?v=ZZ7H1WTqaeo

 

[Particle010]

Laut diesen Tweets soll es die Sicherheitslücken wirklich geben: https://twitter.com/gadievron/status/973655683269873664
Mal sehen.

 

[NMA]

@Sicherheitslücke
Klingt nach gezielt gesetztem Lauffeuer...

@offtopic
Möglichst neutraler Journalismus, im mindesten den Versuch dahinter muss unter anderem mit diesem Bericht auf Computerbase, für Computerbase anerkannt werden.

Auch die Berichterstattung interner kontroversen gibt dem ganzen einen nachvollziehbar, seriöseren Charakter.

Es ist jedoch unbestreitbar die Gesamtsumme, weshalb ich zugunsten von Computerbase einige ebenso etablierte IT Webpräsenzen kaum bis gar nicht mehr aufrufe.

Für mich eine hervorhebenswerte Arbeit und Entwicklung von und für Computerbase.
Danke.