News Ryzenfall und Co.: AMD kündigt BIOS‑Updates gegen Sicherheitslücken an
- Ersteller MichaG
- Erstellt am
- Zur News: Ryzenfall und Co.: AMD kündigt BIOS‑Updates gegen Sicherheitslücken an
Sie hätten die Lücken behoben, was sonst? Üblich sind 90 Tage Zeit dafür.
Zum Vergleich: Für Meltdown und Spectre hatte Intel 180 Tage Zeit. Aber was haben sie daraus gemacht? Was ist mit den immer noch offenen IME-Lücken?
Zum Vergleich: Für Meltdown und Spectre hatte Intel 180 Tage Zeit. Aber was haben sie daraus gemacht? Was ist mit den immer noch offenen IME-Lücken?
Zuletzt bearbeitet:
aldaric
Admiral
- Registriert
- Juli 2010
- Beiträge
- 8.226
Ach und es ist alles nur Zufall, dass diese Firma mit Viceroy zusammenarbeitet, gegen die grade Ermittlungen laufen wegen Marktmanipulation ?
Quelle
Alleine schon die Veröffentlichung von angeblichen Sicherheitslücken, ohne den Hersteller zu informieren, ist absolut grenzwertig. Der ganzen Sache wird nur noch dreister, da Viceroy gleichzeitig einen Artikel online stellte der die AMD Aktie mit 0,00 bewertete um einen Kurssturz zu provozieren um dann anscheinend die Aktien günstig kaufen zu können.
Das alles geplant war, sieht man daran das die Domain amdflaws schon am 22.02. erstellt wurde. Diese "Lücken" sind zwar ganz interessant, setzen aber Admin-Rechte voraus, zufällig haben sie aber natürlich vergessen zu erwähnen das es auch Intel-Boards mit diesem Fehler gibt.
Hier wurde einfach nur gezielt versucht eine Aktie zum Absturz zu bringen. Der Schuss ging aber bekanntlich nach hinten los.
Man sollte auch erwähnen das bei einigen Board-Herstellern "PSP" im Bios deaktiviert ist. Dazu gab es auch im letzten Jahr schon einige News im Netz dazu:
"Dank eines neuen AGESA-Updates lässt sich auch AMDs Platform Security Processor deaktivieren, wie Phoronix und heise online berichten. Findige Reddit-Nutzer bemerkten während eines BIOS-Updates die Möglichkeit, die BIOS-Unterstützung für den PSP zu entfernen. Dies ist zum Beispiel bei Asrock-Mainboards wie dem AB350M Pro4 der Fall. Durch Deaktivieren der Setup-Option "BIOS PSP Support" wird laut Beschreibungstext die Ausführung des PSP-Treibers ausgeschaltet."
Quelle
Alleine schon die Veröffentlichung von angeblichen Sicherheitslücken, ohne den Hersteller zu informieren, ist absolut grenzwertig. Der ganzen Sache wird nur noch dreister, da Viceroy gleichzeitig einen Artikel online stellte der die AMD Aktie mit 0,00 bewertete um einen Kurssturz zu provozieren um dann anscheinend die Aktien günstig kaufen zu können.
Das alles geplant war, sieht man daran das die Domain amdflaws schon am 22.02. erstellt wurde. Diese "Lücken" sind zwar ganz interessant, setzen aber Admin-Rechte voraus, zufällig haben sie aber natürlich vergessen zu erwähnen das es auch Intel-Boards mit diesem Fehler gibt.
Hier wurde einfach nur gezielt versucht eine Aktie zum Absturz zu bringen. Der Schuss ging aber bekanntlich nach hinten los.
Man sollte auch erwähnen das bei einigen Board-Herstellern "PSP" im Bios deaktiviert ist. Dazu gab es auch im letzten Jahr schon einige News im Netz dazu:
"Dank eines neuen AGESA-Updates lässt sich auch AMDs Platform Security Processor deaktivieren, wie Phoronix und heise online berichten. Findige Reddit-Nutzer bemerkten während eines BIOS-Updates die Möglichkeit, die BIOS-Unterstützung für den PSP zu entfernen. Dies ist zum Beispiel bei Asrock-Mainboards wie dem AB350M Pro4 der Fall. Durch Deaktivieren der Setup-Option "BIOS PSP Support" wird laut Beschreibungstext die Ausführung des PSP-Treibers ausgeschaltet."
Zuletzt bearbeitet:
W
Wadenbeisser
Gast
kisser schrieb:
Natürlich haben sie das.
Sie haben die Schwachstellen benannt, lediglich die detailierte Beschreibung blieb dabei offen.
Das ist als würde man jemanden die Richtung zeigen anstatt dem eine detailierte Wegbeschreibung zum Ziel zu geben. Wer die Richtung kennt fundet das Ziel naturgemäß erheblich schneller.
24 Stunden Galgenfrist sind für sowas ein schlechter Witz, das reicht vermutlich noch nicht einmal zur detailierten Analyse des Problems seitens des Herstellers, von einer Behebung ganz zu schweigen und damit ist auch die Absicht hinter der Aktion klar, nämlich dem Ziel zu schaden.
gustlegga
Captain
- Registriert
- Nov. 2010
- Beiträge
- 4.066
Ist ja schon irgendwie erstaunlich.
Knapp 10 Tage später hat AMD die Probleme untersucht und in naher Zeit Fixes dafür angekündigt.
Da braucht man sich auch nicht mehr fragen, warum AMD von diesen Spezialisten von CTS erst 24 Stunden vorher informiert wurde.
Hätten sie sich an die branchenüblichen 90 Tage gehalten wäre ihnen die Mauschelei mit Viceroy zusammengefallen wie ein Kartenhaus. weil AMD die Lücken eventuell schon gepatcht hätte, und die ganze Arbeit in die Trackerverseuchte Webseite, die GreenScreen-Videos und das von Shutterstock "geliehene" Firmenlogo wären umsonst gewesen.
Ich bin zwar echt kein gehässiger Mensch, aber ich hoffe denen fliegt das ganze noch ordentlich um die Ohren!
Achja.... https://www.ctsflaws.com/
Was denkst du eigentlich wie viele Bugs/Anfälligkeiten in Hard- & Software korrigiert werden ohne dass dies öffentlich breit getreten wird und wofür fast alle Firmen Bug- bzw Bounty Hunter Programme haben...
Viel Spaß beim lesen:
https://www.cvedetails.com/index.php
https://cve.mitre.org/cve/
Welcher von den 3en bist du eigentlich ? Lass mich raten: Der rechte...
Und für die anderen beiden finden wir schon noch welche hier im Forum.
https://www.youtube.com/watch?v=MUm7a3Cuoz0
Knapp 10 Tage später hat AMD die Probleme untersucht und in naher Zeit Fixes dafür angekündigt.
Da braucht man sich auch nicht mehr fragen, warum AMD von diesen Spezialisten von CTS erst 24 Stunden vorher informiert wurde.
Hätten sie sich an die branchenüblichen 90 Tage gehalten wäre ihnen die Mauschelei mit Viceroy zusammengefallen wie ein Kartenhaus. weil AMD die Lücken eventuell schon gepatcht hätte, und die ganze Arbeit in die Trackerverseuchte Webseite, die GreenScreen-Videos und das von Shutterstock "geliehene" Firmenlogo wären umsonst gewesen.
Ich bin zwar echt kein gehässiger Mensch, aber ich hoffe denen fliegt das ganze noch ordentlich um die Ohren!
Achja.... https://www.ctsflaws.com/
Gefixt wenn sie davon informiert worden wären, davon kannst du ausgehen.kisser schrieb:
Was denkst du eigentlich wie viele Bugs/Anfälligkeiten in Hard- & Software korrigiert werden ohne dass dies öffentlich breit getreten wird und wofür fast alle Firmen Bug- bzw Bounty Hunter Programme haben...
Viel Spaß beim lesen:
https://www.cvedetails.com/index.php
https://cve.mitre.org/cve/
Welcher von den 3en bist du eigentlich ? Lass mich raten: Der rechte...
Und für die anderen beiden finden wir schon noch welche hier im Forum.
https://www.youtube.com/watch?v=MUm7a3Cuoz0
Zuletzt bearbeitet:
(Link gefixt)
teufelernie
Commander
- Registriert
- Sep. 2004
- Beiträge
- 2.400
Hervorragend. Vermutlich muss man sich an News und Entwicklungen dieser Art gewöhnen.
Diese Art und Weise wie hier mit Informationen umgegangen wird, erinnert mich irgendwie an die Seriösität von Donald Trump...
Diese Art und Weise wie hier mit Informationen umgegangen wird, erinnert mich irgendwie an die Seriösität von Donald Trump...
W
Wadenbeisser
Gast
@teufelernie
Ganz so schlimm isses dann auch nicht.
Für den sind ja alles was ihm widerspricht fake news (Lügen) und alles was er rausblubbert ist natürlich die reine Wahrheit, egal ob es so ist oder nicht.
Ganz so schlimm isses dann auch nicht.
Für den sind ja alles was ihm widerspricht fake news (Lügen) und alles was er rausblubbert ist natürlich die reine Wahrheit, egal ob es so ist oder nicht.
Aldaric87 schrieb:
Wieso schreibst du immer von "angeblichen" Sicherheitslücken, wo diese doch längst bestätigt sein?
Ergänzung ()
Wadenbeisser schrieb:
Ohne detallierte Beschreibung nützt das einem potentiellen Agreifer erst einmal wenig, weil naturgemäß das Ausnutzen einer solchen Lücke sehr schwierig ist.
Ergänzung ()
gustlegga schrieb:
In welchem Zeitraum? Mit Informieren der Öffentlichkeit?
Man hat hier AMD gezwungen an die Öffentlichkeit zu gehen und das Problem schnellstmöglich zu fixen.
kisser schrieb:
Na klar...so wie Intel gezwungen wurde ihre IME lücken zu fixen ?
Ah wait....der Ring3-Rootkit installations Bug ist ja immer noch offen. (Bekannt seit 2016)
Silent bob ist immer noch möglich... (bekannt seit May 2017)
EDIT: nur der Vollständigkeit halber zum nachlesen:
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology
Dazu der identische USB-Chipsatz Bug mit dem ASmedia Zusatzchip der vermutlich sogar auf MEHR intel Plattformen in Umlauf ist als AMD bislang Promontory überhaupt verkauft hat....
AMD hat reagiert. Intel schläft noch immer. Wieder mal die differenzierte Kisser Sichtweise.
Zuletzt bearbeitet:
gustlegga
Captain
- Registriert
- Nov. 2010
- Beiträge
- 4.066
Was man halt schon auch sehen muss, bei den Intel Plattformen ist der ASMedia ein Zusatzcontroller am Board.Iscaran schrieb:
Der lässt sich zur Not im Bios/UEFI auch abschalten.
Zwar unsinnig wenn man die Ports braucht , aber wäre eine einfache "Lösung".
Bei AMD ist das aber im Chipsatz/CPU integriert. Das macht das ganze schon etwas verzwickter.
Zur Scheuklappensicht die du ansprichst von so manchen hier im Forum, egal welche Brillenfarbe, sag ich mal lieber nichts.... könnte mir eine Verwarnung einbringen...
Kindergarten halt, den man am besten einfach ignoriert.
Sind wir doch lieber froh, dass sich a ganze relativ einfach beheben lässt und hoffen dass auch bei ARM, Apple, AMD und Intel auch die Dinge Meltdown, Spectre, IntelME usw bald gefixt werden.
Zudem sind die Angriffszenarien ja bei fast allen Lücken ziemlich abstrakt, aber die schreibende Zunft braucht natürlich was das man zum Clickbait aufblasen kann und die Fanboys (bitte selber gendern...) brauchen was zum trollen als ob die Welt gerade untergeht.
Zuletzt bearbeitet:
(Zitat repariert)
Ja das stimmt. Aber es ging mir eher um die Kritik betreffs - "AMD hätte wohl nichts gemacht wenn nicht öffentlich gemacht worden wäre."
Intel ist speziell von dem ASMedia bug genauso betroffen - Intel hätte wenigstens die Info bringen können dass man aus sicherheitsgründen auf die Verwendeten USB-Ports verzichten kann bspw.
Die anderen Bugs wurden erst heimlich an Intel herangetragen und dann disclosed...passiert ist seit 2016 nichts.
Einzig den SuperGAU (Intels Masterkey-Pendant Namens SA-0086) hat man dann doch auch zeitnahe (Ende November 2017) gepatched.
Ja. Bin ich...noch besser würde mir persönlich die völlige De-Aktivierung von IME/PSP gefallen. Aber das wollen die OEM-Hersteller halt nicht.
W
Wadenbeisser
Gast
@kisser
Ohne detailierte Anleitung findet es lediglich das stumpfinnige Scriptkiddi nicht, alle andern haben einen deutlichen Wegweise gefunden wo sie suchen müssen.
Es sei denn natürlich die Bugs sind so nebensächlich das es keiner großartigen Wartezeit bedarf.
@gustlegga
Der Security device support war von Anfang an abschaltbar und mir kam bisher noch kein Board in die Finger wo es nicht standardmäßig deaktiviert gewesen wäre. Man muss es also erstmal aktivieren.
Ohne detailierte Anleitung findet es lediglich das stumpfinnige Scriptkiddi nicht, alle andern haben einen deutlichen Wegweise gefunden wo sie suchen müssen.
Es sei denn natürlich die Bugs sind so nebensächlich das es keiner großartigen Wartezeit bedarf.
@gustlegga
Der Security device support war von Anfang an abschaltbar und mir kam bisher noch kein Board in die Finger wo es nicht standardmäßig deaktiviert gewesen wäre. Man muss es also erstmal aktivieren.
- Registriert
- März 2014
- Beiträge
- 2.332
Leute. Es ist nicht nur AMD. Zumindest was das PSP angeht schon, was auch immer man damit direkt machen könnte. Aber Chimera z.B., was am Chipsatz zusammenliegt, könnte man auch bei Intel exploiten und das sogar Jahre weit weg, weil die ebenfalls betroffene ASMedia Chips verwenden. CTS Labs hat ursprünglich nach Fehlern bei ASMedia Chips gesucht und dann rausgefunden, dass man einige Exploits bei AMD nutzen konnte und dann haben die schlussendlich bei AMD nach Fehlern gesucht. Das so zumindest laut eines Interviews wo es auch hiess, dass "andere PCs ebenfalls Probleme haben können".
Und Intel hatte (oder hat noch?) ebenfalls probleme mit dem ME, nicht vergessen.
Und nein ich will nicht sagen "nur weils der andere hat, ist es okay". Nein, es ist nicht okay. Aber ich wollt nur darauf aufmerksam machen, dass Intel genau so auf der Scheisse sitzt. Es geht hier also nicht nur um AMD schlussendlich...
Eigentlich ist ein grosser Teil vom Ganzen ursprünglich ein ASMedia problem. Nicht Intel oder AMD.
Und Intel hatte (oder hat noch?) ebenfalls probleme mit dem ME, nicht vergessen.
Und nein ich will nicht sagen "nur weils der andere hat, ist es okay". Nein, es ist nicht okay. Aber ich wollt nur darauf aufmerksam machen, dass Intel genau so auf der Scheisse sitzt. Es geht hier also nicht nur um AMD schlussendlich...
Eigentlich ist ein grosser Teil vom Ganzen ursprünglich ein ASMedia problem. Nicht Intel oder AMD.
Zuletzt bearbeitet:
Nein, wenn das wirklich das Ziel gewesen wäre, hätten sie es auf normalem Wege besser erreicht. Darum ging es aber gerade nicht, oder warum verschweigen sie es bei Intel?kisser schrieb:
Dieser Chip ist per Default aktiv! Deshalb macht es keinen Unterschied, ob er in einem eigenen Gehäuse sitzt oder nicht.gustlegga schrieb:
Mit einem Aufruf zum Abschalten könnte man vielleicht 1 % der Nutzer erreichen. Die meisten kriegen es überhaupt nicht mit, und der Rest findet es unnötig, seine eigene Hardware abzuschalten, und sich selbst die Tastatur lahm zu legen (ein DAU achtet nicht darauf, in welchem Port die steckt).
Ich schreibe das alles nicht, weil es mir um AMD ginge. Der Punkt ist, dass so eine Zockerbude wie CTS nur dem einzigen Zweck dient, mit möglichst aufgebauschter Panikmache möglichst viel Kasse zu machen. Über Kursgewinne und Spekulationen auf fallende Kurse. Vorbereitungen für diese Manipulationen wurden schon vor der allerersten Veröffentlichung(!) getätigt.
So ein Verhalten (aufgebauschte Panikmache und aktiv verhindern, dass die Lücken geschlossen werden), ist aber nicht im Sinne der Allgemeinheit. Auf normalem Wege (inkl. CVE-Registrierung, Mitteilung an den Hersteller) wäre das hier gar nicht zu einem Problem geworden.
Deshalb kann ich dem auch nichts Positives abgewinnen. Die nächste Steigerung ist nur noch ein Fall wie dieser Russe, der einen Bombenanschlag auf den Bus von Borussia Dortmund verübt, um mit der fallenden Aktie noch Kohle zu verdienen. Einfach widerlich!
CTS schreibt sogar noch selbst, dass sie "möglicherweise" (hahaha!) mit der Meldung eigene wirtschaftliche Interessen verfolgen (und zwar deshalb, damit sie für ihr Verhalten nicht verklagt werden können). Das rechtliche blah-blah liest aber niemand durch.
Zuletzt bearbeitet:
gustlegga
Captain
- Registriert
- Nov. 2010
- Beiträge
- 4.066
Schon klar, hab auch nichts anderes geschrieben.HaZweiOh schrieb:
Nur ist es halt so, dass man beim Ryzen Chipset mit UEFI-Updates gegensteuern muss, bei den Intel aber einfach die jeweiligen Ports deaktiviert werden können im Bios.
Wie gesagt, auch nichts der sinnvollste Weg... man verliert Anschlüsse.
AMD muss sich in diesem Punkt ja auch erst mit ASMedia kurzschließen, allein können die da auch nicht direkt was machen.
Ob Intel in Kooperation mit ASMedia was bringt, hmmm - da glaub ich auch kaum dran. Zumindest hat man zu der ganzen Thematik von Intel noch kaum was gehört. Wen wunderts, die haben ja sonst genug Baustellen. ^^
Mir solls egal sein, mein 1090T bzw der AM3 Unterbau ist nicht betroffen, und bis ich mit Zen2(?) aufrüste ist das Thema eh gegessen.
