Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
MSI X570 MEG ACE/Unify - Sammelthread
- Ersteller Marcellus5000
- Erstellt am
GrenSo schrieb:was sich genau hinter der CVE-2024-36877 Meldung verbirgt.
Eine Sicherheitslücke bei MSI Chipsets (Intel 300 bis 700, AM4 und AM5).
Die Lücke entsteht durch den Zugriff auf den system management mode (SMM). Das ist eine isolierte Umgebung auf der wichtiger Firmwarecode läuft, unabhängig vom Betriebssystem, gespeichert im sog. system mangement ram (SMRAM). Auf diesen regulär gesperrten Bereich kann aber über das Betriebssystem über system kernel treiber zugegriffen werden. Einmal drin, hat man aus diesem Bereich heraus volle Lese- und Schreibzugriffe auf den gesamten physikalisch am Mainboard angeschlossenen Speicherbereich. Auch auf den BIOS-Chip, sodass bspw. On-The-Fly Bios updates gemacht werden können.
Außerdem kann man aus der SMM heraus Code auf den ROM flashen, der sich nicht mehr entfernen lässt, da diese Codeteile unabhängig vom Betriebssystem immer zuerst geladen werden. Sie können jegliche BIOS-Updates überstehen. Dann können sie die nachträglich vom OS in den Speicher geladenen Code auch manipulieren.
Eine Lücke im Zugang zum SMM bedeutet also, dass hier das System vollständig kompromittiert werden kann.
Quelle
RaiseHell
Lt. Commander
- Registriert
- Mai 2007
- Beiträge
- 1.443
Da empfiehlt sich wohl ein zeitnahes Update.
Die Readme-Datei, die im ZIP-Archiv enthalten ist, listet sogar noch einen Fix für eine zweite Vulnerability auf.
Ergänzung ()
Die Readme-Datei, die im ZIP-Archiv enthalten ist, listet sogar noch einen Fix für eine zweite Vulnerability auf.
Code:
-------------------------------------------------
MEG X570 UNIFY (MS-7C35) V10.K BIOS Release
-------------------------------------------------
1. This is AMI BIOS release
2. This BIOS fixes the following problem of the previous version:
- Fixed CVE-2024-36877 security issue.
- Implemented patch for “LogoFAIL” vulnerability.
3. 2024/08/05
Zuletzt bearbeitet:
RaiseHell
Lt. Commander
- Registriert
- Mai 2007
- Beiträge
- 1.443
Gerade auf AK aktualisiert, soweit ohne Auffälligkeiten.
Allerdings wurde ich wieder mal dran erinnert, warum BIOS-Updates so nerven. Keine Möglichkeit, zuvor exportierte Settings in einer neueren BIOS-Version wieder zu importieren. Jeder Scheiß muss wieder von Hand umgeändert werden. Grade im Bezug auf Lüfterkurven und RAM-Overclocking viel zu zeitaufwendig.
Weiß jemand, ob das bei anderen Mainboard-Herstellern besser ist?
Allerdings wurde ich wieder mal dran erinnert, warum BIOS-Updates so nerven. Keine Möglichkeit, zuvor exportierte Settings in einer neueren BIOS-Version wieder zu importieren. Jeder Scheiß muss wieder von Hand umgeändert werden. Grade im Bezug auf Lüfterkurven und RAM-Overclocking viel zu zeitaufwendig.
Weiß jemand, ob das bei anderen Mainboard-Herstellern besser ist?
00Julius
Commander
- Registriert
- Feb. 2023
- Beiträge
- 2.899
Nimm für die Lüfterkurven "Fan Control". Die Kurven funktionieren auch nach einem Update, da Software.RaiseHell schrieb:Grade im Bezug auf Lüfterkurven
Genauso kann man mal Ryzen-Master fürs Overclocking ausprobieren.
Das geht mir auch schon seit Jahrzehnten auf den Keks. Ich vermute aber, dass das hauptsächlich wegen der erhöhten Gefahr einer Fehlkonfiguration gemieden wird. Mit neuen Versionen können neue Funktionen etc. kommen oder wegfallen, Registeradressen geändert werden usw., sodass die vorherige Config nicht mehr passend ist.
Du kannst bei dem Board aber OC-Profile auf ROM der USB Stick speichern. Ob dabei auch die restlichen Optionen gespeichert werden? Ich habe es nie benutzt.
Du kannst bei dem Board aber OC-Profile auf ROM der USB Stick speichern. Ob dabei auch die restlichen Optionen gespeichert werden? Ich habe es nie benutzt.
RaiseHell
Lt. Commander
- Registriert
- Mai 2007
- Beiträge
- 1.443
Hatte ich mal probiert, allerdings wurde aus mir unverständlichen Gründen einer meiner Gehäuselüfter nicht erkannt. Anscheinend hängt der an einem anderen Steuer-Chip.00Julius schrieb:Nimm für die Lüfterkurven "Fan Control". Die Kurven funktionieren auch nach einem Update, da Software.
Generell hab ich gern alles direkt übers BIOS gelöst, weil ich mir dann permanent im Hintergrund laufende Tools sparen kann.
Unterstützt das auch das Setzen von Speicher-Sub-Timings?00Julius schrieb:Genauso kann man mal Ryzen-Master fürs Overclocking ausprobieren.
Aber siehe oben, ganz grundsätzlich installier ich mir solche Tools erst gar nicht, wenn sich's vermeiden lässt.
Das vermute ich auch, trotzdem könnte man da meiner Meinung nach eine Logik einbauen, die eben nur unkritische Einstellungen wieder importiert, oder halt mit einer deutlichen Warnung auch alle Einstellungen für Power-User.ShiftC schrieb:Das geht mir auch schon seit Jahrzehnten auf den Keks. Ich vermute aber, dass das hauptsächlich wegen der erhöhten Gefahr einer Fehlkonfiguration gemieden wird. Mit neuen Versionen können neue Funktionen etc. kommen oder wegfallen, Registeradressen geändert werden usw., sodass die vorherige Config nicht mehr passend ist.
Genau das hab ich vor Update auf AK gemacht. Allerdings bekommt man dann beim Import unter einer neueren BIOS-Version die Fehlermeldung, dass die Version nicht übereinstimmt.ShiftC schrieb:Du kannst bei dem Board aber OC-Profile auf ROM der USB Stick speichern. Ob dabei auch die restlichen Optionen gespeichert werden? Ich habe es nie benutzt.
Sehe ich genau so. Solange das Datenmodell sich nicht ändert, hat jeder Eintrag bzw. jede Option eine eindeutige ID, vordefinierte Attribute und Werte.RaiseHell schrieb:Das vermute ich auch, trotzdem könnte man da meiner Meinung nach eine Logik einbauen, die eben nur unkritische Einstellungen wieder importiert, oder halt mit einer deutlichen Warnung auch alle Einstellungen für Power-User.
Dass das im Jahre 2024 immer noch keine Standardoption im BIOS ist und man sich immer noch mit vorab erstellten Screenshots verhelfen muss ist schon traurig.
ShiftC schrieb:Eine Sicherheitslücke bei MSI Chipsets (Intel 300 bis 700, AM4 und AM5).
Also so ähnlich bzw. vergleichbar der CVE-2023-31315, bei der AMD beginnt Updates zu verteilen. Mal schauen, wann von MSI ComboAm4v2PI 1.2.0.CB (9. Tabelle Bereich "CLIENT / DESKTOP") verteilt wird bzw. das nächste BIOS Update erscheint, welches diese Lücke behebt.
Ich nutze auch einen 3700X. Ist schon mies, dass AMD die Ryzen Desktop 3000 Serie hier nicht updaten will. Allerdings muss man auch sagen, dass die Lücke vorher einen Zugang zum System Kernel verlangt (was ich nicht runterreden will, aber meistens ist dann eh schon Feierabend).
Mal schauen, ob ich dieser Plattform noch als letztes Langzeitupgrade einen 5700X3D oder 5800X3D verpasse, oder gleich zu AM5 wechsle. Aber darauf habe ich eigl. keine Lust wegen den Kosten, insbesondere weil ein MEG Unify äquivalent auf AM5 Basis wieder Schweineteuer sein wird.
Mal schauen, ob ich dieser Plattform noch als letztes Langzeitupgrade einen 5700X3D oder 5800X3D verpasse, oder gleich zu AM5 wechsle. Aber darauf habe ich eigl. keine Lust wegen den Kosten, insbesondere weil ein MEG Unify äquivalent auf AM5 Basis wieder Schweineteuer sein wird.
RaiseHell schrieb:Laut einigen Berichten plant AMD nicht, für CVE-2023-31315 und die 3000er-Serie einen Fix zu veröffentlichen.
ShiftC schrieb:Ich nutze auch einen 3700X. Ist schon mies, dass AMD die Ryzen Desktop 3000 Serie hier nicht updaten will.
Es gibt dazu ein kleines Update auf der Seite von AMD zum CVE-2023-31315, bei der es jetzt ein Target 2024-08-20 für morgen angegeben wird.
Zuletzt bearbeitet:
Neue Firmware 7C35vAL1 als BETA ist raus, mit der dann auch endlich CVE-2023-31315 behoben ist.
Changelog:
Changelog:
- AGESA ComboAm4v2PI 1.2.0.Cc update.
- Added security issue of SMM Lock Bypass uCode fix aka “Sinkclose”.
SavageSkull
Fleet Admiral
- Registriert
- Mai 2010
- Beiträge
- 14.440
@SavageSkull Wenn du was parat hast wäre ich dankbar für irgendein mehr oder weniger cpu-lastiges Spiel, idealerweise auf 720p oder 1080p mit low settings getestet (ohne ins gpu limit zu rennen halt). Ansonsten ginge auch cinebench.
PegasusHunter
Lt. Commander
- Registriert
- März 2004
- Beiträge
- 1.235
Ähnliche Themen
- Antworten
- 31
- Aufrufe
- 2.349
- Antworten
- 24
- Aufrufe
- 2.343
- Antworten
- 14
- Aufrufe
- 3.095
- Antworten
- 21
- Aufrufe
- 3.431
- Antworten
- 14
- Aufrufe
- 2.237