Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsRyzenfall und Co.: AMD kündigt BIOS‑Updates gegen Sicherheitslücken an
Für mich sind solche Aussagen eher ein billiger Versuch gegen einen regelmäßig mitzugrölen und bei einem anderen alles als Manipulation oder Kleinigkeit hinzustellen. Ich frage mich, ob manche wirklich Aktien bei diesen Unternehmen haben?
Baustellen haben letztendlich beide Hersteller.
Es gibt keine Rechtfertigung für ein "besser" oder "schlechter".
In Amerika ja vllt, Volki.
Ich sehe hier einen Bug in PSP nicht mehr. Und auch nicht so gravierend wie IME.
Das meiste hier eben ist Unwissen und eine Schutzbehauptung, denn Intel benutzt auch komprommitierte ASMedia Produkte. Vermutlich sogar Smartphone Hersteller.
AMD macht hier alles richtig. Gegen vermeintliche Sicherheitsfirmen in die Offensive gehen und Ihnen damit den Wind aus den Segeln nehmen.
Die Bugs im PSP sind hinlänglich bekannt.
Trifft Intel ME ebenso.
Die separate Meldung hierzu wird wohl gerade in der Pipeline sein.
Wo wird hier etwas relativiert?
Fakten sind nunmal das diese Lücken eh nur mit bereits bestehenden Adminrechten nutzen kann.
Im Gegensatz zB zu den Lücken im Intel Pendant.
Nach deiner Argumentation, müsste Intel schon pleite sein, aber lassen wir es. Logisches Denken und Fakten lassen das Thema nicht weg diskutieren.
Bugs müssen gefixt werden, aber Sicherheitslücken sehen dann eben doch anders aus, dir sei Herr Stillers Beitrag bei heise zu Spectre/Meltdown angeraten.
Die Firmware vom PSP ist meines Wissens nicht so konzipiert, dass man die als User oder Admin flashen können sollte. Klar man könnte die selbe Lücke nutzen wie die Schadsoftware an sich, wenn die nicht von selbiger geschlossen wurde.
Rock Lee schrieb:
Damit macht AMD mehr als sie machen müssten. Naja....immerhin nimmt man diesen Betrügern von CTS Labs weiter den Wind aus den Segeln...
Intel scheint auch betroffen, ja. Aber einerseits ist der betroffene Chip bei AMD direkt im Prozessor und bei Intel nicht, andererseits hat es, soweit ich das beurteilen kann, noch immer keiner für notwendig gehalten zu prüfen ob die Vermutung zutrifft, dass die Lücken auch auf Intel-Systemen nutzbar sind. Finde ich übrigens sehr bescheiden, sollte ein leichtes sein, wenn man das nötige Fachwissen hat, das mal eben zu prüfen und zu dokumentieren. Andererseits, vielleicht hat das ja schon jemand der seriöser agiert als CTS Labs und hat seinen Proof of Concept erst mal nur an Intel weitergeleitet.
Volkimann schrieb:
Fakten sind nunmal das diese Lücken eh nur mit bereits bestehenden Adminrechten nutzen kann.
Im Gegensatz zB zu den Lücken im Intel Pendant.
Lese das immer wieder und Frage mich jedes mal was es meinen 3 AMD-Systemen nützt, wenn die Wissen das Intel noch schlechter ist. Fehler sind Fehler, völlig unabhängig davon ob die Konkurrenz noch mehr davon macht.
@TrueAzrael
Es bestreitet ja auch keiner das es Fehler sind. Aber Sicherheitslücken?
Jemand der volle Adminrechte an einem System haben muss um diese nutzen zu können, ist dann auch eine Sicherheitslücke.
Gemäß dieser Logik darf es keine Admins mehr geben.
Mich stört die Art und Weise der Berichterstattung zu dem Thema von diversen Seiten (insb. CTS-Labs), CB macht das diesmal allerdings ganz passabel. Was da alles an Halbwahrheiten veröffentlicht wird ist unter aller Sau und hat mit seriöser Berichterstattung zu dem Thema wenig zu tun. Es geht weniger um Fakten als um AMD Bashing. Das der Angreifer bereits gewonnen haben muss (adminrechte) wurde beiläufig erwähnt...Hast du mitbekommen, dass Intel ähnlich betroffen ist? Offenbar nicht. Und warum nicht? Ich bin mir auch sicher, dass 50% der Leute immer noch der Meinung sind, dass Meltdown auch AMD betrifft.
Einziger Nachteil daran ist, dass du dein modifiziertes BIOS "extern" flashen musst, z.B. mit einem Rasperry Pi und einer Chip-Klemme. Kaputt gehen kann dabei aber soviel ich weiß nix, denn wenn du nach dem flashen nicht mehr bootest, kannst du immer ein originales BIOS flashen.
Ich habe das UEFI meines MSI H87I mit dem Tool, das mir im UEFI angeboten wird, überschrieben. Das Image habe direkt von der MSI-Website heruntergeladen und mit me_cleaner bearbeitet. Es funktioniert alles bis auf eine Ausnahme: Nach einigen Boot-Vorgängen setzt das UEFI alle Einstellungen zurück und weigert sich, Änderungen daran anzunehmen, so als wäre der Flash-Speicher nur noch lesbar. Das lässt sich mit einem erneuten Flashen des UEFI für eine Weile beheben oder man kann es einfach ignorieren.
Ja sorry aber wenn ich dir als fremder meinen Haustür Schlüssel gebe, bin ich genauso bescheuert und hab selber schuld wenn du mir die Bude leer machst.
Die wurde zudem noch von Ormandi gefunden, der auch behauptet, das alles halb so wild ist und alles erst gefährllich wird, wenn man Adminrechte hat.
Wie man sieht hat das aber nichts mit Dummheit des Users zu tun. Man bekommt eine Datei von der man denkt, dass sie in Ordnung sei, klickt sie und man installiert sich mit Adminrechten einen nicht auffindbaren, nicht deinstallierbaren und im Ring -3 laufenden Exploit in den Prozessor.
Wo bitte sehr ist das kein Problem?
Volkimann schrieb:
Es bestreitet ja auch keiner das es Fehler sind. Aber Sicherheitslücken?
Ja was denn sonst? wird doch in Windows zum Beispiel auch immer so bezeichnet. Bloß weil es jetzt dein Lieblingshersteller ist willst du "Fehler" im Security-Processor nicht als Sicherheitslücken bezeichnen?
Dazu muss man aber sagen, dass es trotzdem eine extrem beängstigende Sicherheitslücke bleibt.
Dass sich ein Angreifer temporär Admin-Rechte verschafft ist schlimm genug. (Sicherheitslücken, die das ermöglichen, gibt es leider immer wieder.)
Dass jemand das ausnutzen könnte, um Schadcode im PSP (oder Intels Managemanet Engine) zu platzieren, der dort praktisch unsichtbar und unlöschbar wird und der Rechner damit dauerhaft und unbemerkt kompromitiert ist, und man ihn nicht mal mit komplettem Formatieren oder Austauschen der Festplatte oder BIOS/UEFI-Flash usw. wieder absichern kann, ist nochmal eine Größenordnung schlimmer.
Ich will da AMD keinen besonderen Vorwurf machen. Jeder Hard- und Softwareentwickler hat ständig mit Sicherheitslücken zu kämpfen (Konkurrent Intel in letzter Zeit besonders schlimm) und AMD hat in Sachen Schadensbegrenzung schnell und korrekt reagiert.
Aber als "halb so schlimm" oder gar irrelevant sollte man auch als ausgesprochener AMD-Fan diese Sache nicht abtun. Die Möglichkeiten, die sich aus diesen Sicherheitlücken eröffnen, sind und bleiben ein Horrorszenario.
Davor wird bestimmt in der Bedienungsanleitung des Schlosses gewarnt
Ergänzung ()
xenon-seven schrieb:
UPS, nun doch so viele Lücken bei AMD? Und das werden wohl nicht die letzten sein.
Übrigens, herrlich wie die AMD-Fanboys hier gleich alles zu relativieren versuchen. Einfach köstlich immer wieder....
Manchen hier scheint das Lesen des Artikels unter der Überschrift zu schwer zu sein. Schön dass die CB Redakteure deiner Meinung nach AMD Fanboys sind.
Ich finde ja, das viel zu wenig über die eigentliche Konsequenz gesprochen wird. Alle hängen sich darauf auf wer jetzt wie stark betroffen ist, ob es eine Sicherheitslücke ist oder nicht. Alles unnötiger Quark!
Das eigentliche Thema muss doch sein: Wie werden wir diese PSP/IME scheiße endlich wieder los?
Diese Chips müssen dringend aus neuen Produkten entfernt werden, da sie die versprochene Sicherheit nicht liefern, sondern im Gegenteil zu genau dem Gegenteil führen. Anstatt dass wir uns gegenseitig in Foren beschimpfen als Fanboy A oder Fanboy B sollten wir uns zusammen tun und gemeinsam Sturm gegen die CPU Hersteller laufen und fordern das diese "Sicherheitslösungen" verschwinden!
@noxon:
Und was ist nun genau mit den Lücken in Intels ME ? Sind die nun gepatched oder nicht ? Ermöglichen doch ebenfalls das verstecken von Malware in der IME.
Ja schlimm genug dass so was geht - aber es ist schon erstaunlich wie die Leute kollektiv vergessen dass bei Intels ME ganz vergleichbare Lücken genauso existieren und das schon seit GERAUMER Zeit und Intel hierzu NICHTS macht. Und die ASMedie Chips die AMD hat sind bei sehr vielen Intel Produkten genauso verbaut.
AMD hat aber bereits nach wenigen Tagen einen kompletten Bugfix angekündigt !
So macht man Security.
Es wäre schon ein Anfang wenn die Hersteller die Dinger optional im Bios machen. Wobei diese 'Lücke' hier wirklich Quark is (root Rechte nötig). Aber machen wir uns nichts vor.... Da gibts auf beiden seiten noch einige mehr.
Absolut. Das wurde damals schon wegen GENAU solcher Möglichkeiten wie diesen Lücken als kritisch gesehen und was sehen wir - es ist GENAU das eingetreten was man damals schon diskutiert hat und was von vielen als "nicht-relevant" abgetan wurde.
Aber die Content-Mafia (und die Hersteller) wollen diese Features um die Kontrolle über die Hardware vom User zuerlangen - damit man dann endlich Upgrade-Zwang etc. gegenüber dem User ausüben kann.
Ähm, hast du dich überhaupt mal mit der Thematik ernsthaft auseinandergesetzt und verstanden, was von den CTS-Labs Betrügern hier als """"Sicherheitslücke"""" verkauft wird und wie unseriös hier von A-Z vorgegangen wurde?
Zeigt wieder nur eins auf. Und zwar dass wir Coreboot etc. benötigen.
UEFI, SPS, IME usw. ist einfach zu komplex.
Hardware funkt am OS vorbei ins Netz = supercool
Hersteller pflegen dann Patchcode nicht ein obwohl existent.
Der "Verbraucher" ist wieder mal der Gelackmeierte.
Und "sie" träumen schon vom AlwaysOnPC und IoT Shiiitt
Am besten man trägt die ganze IBM ähm eher WIN kompatible Hardware zu Grabe und macht sich auf etwas neues freies zu entwickeln.
Aber da sehe ich selbst in der EU schwarz obwohl es scheinbar bei denen langsam zu dämmern beginnt.
Das wäre nur ein Argument, wenn es nicht immer wieder Sicherheitslücken gäbe, die es ermöglichen root/Admin-Rechte zu erlangen. Wäre z.B. auch mit Spectre möglich, wenn man darüber Admin-Passwörter aus einem geschützen Speicherbereich ausliest. Von Sicherheitslücken in Betriebssystemen und sonstiger Software ganz zu schweigen.
In Kombination mit irgendeiner dieser immer wieder auftretenden Sicherheitslücken (oder auch Social Engineering und Co.) wird es dann halt doch richtig gefährlich. Durch Zugriff auf den PSP kann ein Angreifer, der sich zuvor irgendwie Admin-Rechte verschafft hat, Schaden anrichten, der nochmal um eine Größenordnung schlimmer ist, als alles was er auf reiner Software/OS-Ebene als Admin anrichten könnte. Schadcode im PSP (oder IME) ist versteckt und sicher vor jeder Antivirus-Software und praktisch nicht mehr vom System zu entfernen.
Oder folgendes Szenario:
Irgendjemand verschafft sich Zugang zu einem beliebigen Hersteller/Händler von PCs (Dell, HP, Amazon oder der Schrauber um die Ecke). Er installiert in einem unbeobachteten Augenblick auf den PCs Schadsoftware in den PSP/IME und die neuen Rechner werden dann an ahnungslose Kunden verkauft. Selbst wenn die alles schön sauber neu installieren, das System regelmäßig scannen und es irgendwie schaffen, dass sich nie wieder jemand unerlaubt Admin-Zugriff verschaffen kann, sind und bleiben diese Rechner kompromitiert.
