News PSP: Auch AMDs „Management Engine“ hat Sicherheitslücke

[Inxession]

Hier hätte dann eigtl eine Notiz ausgereicht.

So kommt es schon ein wenig rüber, als wolle man von Intel ablenken.

Bin scheinbar nicht der einzige, der das so sieht

 

[Crizzo]

Bin scheinbar nicht der einzige, der das so sieht

Zum Glück macht das keinen Unterschied.

 

[TheLastHotfix]

... that the above fTMP issue will be addressed in an update ...

fTPM schalt ich als erstes ab.

 

[c2ash]

Jetzt ist der Raspberry Pi so ziemlich der letzte sichere "PC"

Dito.
Da kann der Raspi 4 nicht schnell genug kommen.
Vielleicht sollte man doch, wie von Torvals vorgeschlagen, mal ne ARM-Plattform als alternative aufbauen.
Aber ich denke das wird Intel und AMD verhindern durch Lobbying bei MS. Da wird dann Kohle fließen, damit solche Plattformen nicht unterstützt werden.

 

[Wadenbeisser]

Keine Sorge, das verhindern die User schon selbst wenn ihre heiß geliebten Programme/Spiele darauf nicht laufen.

 

[Rockstar85]

Regards

Slave

Ich habe ihm den Tipp gegeben, da ich viel auf Phoronix unterwegs bin. Darfst also auf mich einhacken
Es ist unerheblich wer die schlimmere Sicherheitslücke hat (derzeit ARM weil mit 100%tiger Sicherheit nicht alles was Cortex enthält, patchbar ist) sondern schlichtweg darum schwere Sicherheitslücken zu eliminieren. Und da solche Bugs eben geheim gehalten werden, kam die Meldung auch erst gestern.
Also anstatt auf Steffen, darfst du dann auf mich bösen AMD Fanboy rumkloppen

Und wenn ich den Artikel richtig verstanden habe, dann ist dieser fTMP Microcode Patch wohl der Walkaround für PSP. Vermutlich muss man hier ebenso wie beim Spectre Thema die µArch überarbeiten. Sicher bin ich mir da aber auch nicht. Weil solange die Lücke zu gemacht wird, ist doch alles in Butter.

Das hier ist auch sehr Interessant: https://www.phoronix.com/scan.php?page=news_item&px=AMD-Branch-Prediction-Still

 

[CS74ES]

Ich glaube mit "access to the motherboard" meint AMD im Endeffekt die in unserer News genannten Root- bzw Administrator-Rechte. Ich gehe nicht davon aus, dass man das Mainboard anfassen können muss.

Richtig, sonst hieße es "physical access"

@Topic

Immer wieder interessant, wie sich viele (oder alle?) Hersteller übernehmen. Ist wie: "Oh geil wir können durch Kernspaltung Energie erzeugen!", "Oh Mist und auch Atombomben bauen..."

 

[whyme]

Irgendwie scheint dieses "nach 90 Tagen wird der Bug veröffentlicht" von Google nicht für jeden Hersteller zu gelten, oder? Oder wieso wurde Intels Meltdown hier 6 Monate lang nicht veröffenlticht?

 

[Raucherdackel!]

Dito.
Da kann der Raspi 4 nicht schnell genug kommen.
Vielleicht sollte man doch, wie von Torvals vorgeschlagen, mal ne ARM-Plattform als alternative aufbauen.
Aber ich denke das wird Intel und AMD verhindern durch Lobbying bei MS. Da wird dann Kohle fließen, damit solche Plattformen nicht unterstützt werden.

Nein, nicht ARM, sondern MIPS. Die sind in vielen High End Receiver drin und mit Dual Boot hast du dann auch Debian drauf Und im Gegensatz zu ARM sind die MIPS nicht meltdown/spectre befallen.

 

[KlaasKersting]

Irgendwie scheint dieses "nach 90 Tagen wird der Bug veröffentlicht" von Google nicht für jeden Hersteller zu gelten, oder? Oder wieso wurde Intels Meltdown hier 6 Monate lang nicht veröffenlticht?

Weil die Frist verlängert werden kann, sofern plausible Gründe genannt werden, wieso man länger für den Fix braucht.

 

[Wadenbeisser]

Irgendwie scheint dieses "nach 90 Tagen wird der Bug veröffentlicht" von Google nicht für jeden Hersteller zu gelten, oder? Oder wieso wurde Intels Meltdown hier 6 Monate lang nicht veröffenlticht?

Weil es ein absoluter Schwachsinn wäre sowas zu veröffentlichen bevor entsprechende fixes weit genug sind.
Das Wäre nicht nur der Super GAU, nein das wäre als würde man den Reaktor noch mit zusätzlichen Brennstäben füttern.

 

[bossbeelze]

Das sind doch kein Sicherheitslücken. Das sind Lücken für Sicherheitsdienste. Das sowas möglich ist, wurde uns ja vor 15 Jahren schon prophezeit, belächelt und als Schwachsinn abgetan.

 

[Rockstar85]

Das sind doch kein Sicherheitslücken.

ich glaube 1992 gab es erste Bedenken dazu, dann in 2002 die ersten Anzeichen für Lücken.. Aber wie du sagtest, man war wohl noch nicht soweit die Tragweite zu erkennen.

 

[whyme]

Weil es ein absoluter Schwachsinn wäre sowas zu veröffentlichen bevor entsprechende fixes weit genug sind.
Das Wäre nicht nur der Super GAU, nein das wäre als würde man den Reaktor noch mit zusätzlichen Brennstäben füttern.

Natürlich wäre es das, aber vor Lücken in Windows oder dem IE machen die bei Google doch auch keinen halt, die durchaus auch als kritisch anzusehen waren.
Böse Zungen könnten meinen, das Google Intel Prozessoren verwendet und den Fehler deshalb bis zum Fix geheimgehalten hat.

 

[Jethro]

Ging Google wohl auch um Android.
Wäre schlechte Presse zu melden das Android Telefone diese Sicherheitslücke haben aber mögliche Fixes kommen erst in 6 Monaten.

 

[drago-museweni]

Irgendwie geht das alles an mir vorbei, Intel interessiert mich eh nicht, und da ich im Text gelesen habe das AMD "Problem" sei leicht zu lösen juckt micht das eh nicht sonderlich, und auch so dreht sich der Planet weiter...

Das sollte in die Überschrift mit rein:

.... Problem vergleichsweise kinderleicht zu beheben...

 

[Wadenbeisser]

Natürlich wäre es das, aber vor Lücken in Windows oder dem IE machen die bei Google doch auch keinen halt, die durchaus auch als kritisch anzusehen waren.
Böse Zungen könnten meinen, das Google Intel Prozessoren verwendet und den Fehler deshalb bis zum Fix geheimgehalten hat.

Die werden ebenso wenig sofort in der Presse breitgetreten, zudem lassen sich Lücken in der Software leichter beheben als welche in der Hardware zu umgehen. Zudem halte ich den Bug bei AMD für weniger kritisch denn die Nummer ist so oder so bereits gelaufen wenn der Angreifer Administrationsreche erlangt hat.

 

[Benji18]

Irgendwie scheint dieses "nach 90 Tagen wird der Bug veröffentlicht" von Google nicht für jeden Hersteller zu gelten, oder? Oder wieso wurde Intels Meltdown hier 6 Monate lang nicht veröffenlticht?

Wenn glaubwürdig bezeugt werden kann das der Bug nicht innerhalb der 90 Tage gefixt werden kann dann wird ein Zeitfenster vereinbart thats it

 

[Holt]

"nur mit Administrator-Rechten" wie viele Lücken gibt es immer wieder im OS und sonstwo, die auch nicht privilegierten Prozessen genau diese Rechte verschaffen?

 

[Smartcom5]

Wenn glaubwürdig bezeugt werden kann das der Bug nicht innerhalb der 90 Tage gefixt werden kann dann wird ein Zeitfenster vereinbart thats it

Seit dem 7. Dezember sind aber keine 90 Tage her, oder?

Timeline
========
09-28-17 - Vulnerability reported to AMD Security Team.
12-07-17 - Fix is ready. Vendor works on a rollout to affected partners.
01-03-18 - Public disclosure due to 90 day disclosure deadline.
— „AMD-PSP: fTPM Remote Code Execution via crafted EK certificate“, Cfir Cohen, Google Cloud Security Team

---

"nur mit Administrator-Rechten" wie viele Lücken gibt es immer wieder im OS und sonstwo, die auch nicht privilegierten Prozessen genau diese Rechte verschaffen?

Zum ausnutzen der Lücke gehört schon einiges mehr als Administrator-Zugriff – zumal sie diesen Exploit innerhalb eines Emulators gefunden haben (in Ermangelung von echter, realer AMD-Hardware) …

Proof Of Concept
================
Without access to a real AMD hardware, we used an ARM emulator to
emulate a call to EkCheckCurrentCert with the CERT_DATA listed above. […]
— „AMD-PSP: fTPM Remote Code Execution via crafted EK certificate“, Cfir Cohen, Google Cloud Security Team

In diesem Sinne

Smartcom