News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren

[kicos018]

Richtig... bringt dir aber bei Sinkclose anscheinend nichts, da ja für zb. B350 Boards dann trotzdem kein BIOS Update mit gefixtem Microcode (Agesa 1.2.0.cb) kommen wird.

Aber das obliegt doch nicht bei AMD, sondern den Boardherstellern, oder nicht?

Fragt doch bitte bei AMD noch mal nach, wie man darauf kommt, eine CPU nicht mehr zu Unterstützen, für die man noch Garantie den Usern schuldet.

Sicherheitslücken dürften ziemlich sicher nicht unter die Garantiebedingungen fallen. Da geht es ja eher um Hardwarefehler/-defekte.

 

[crogge]

Ich hoffe das die 3000er Serie langfristig unterstützt wird da darauf aktuell einige WIndows 11 Systeme laufen.

 

[Hunkin]

Nichts ist gefährlicher als Halbwissen. Das sieht man hier im Forum immer wieder. Unbahängig vom Rang des Beitragenden..... Ich nutze mehrere AMD und Intel Systeme und mache mir als Privatanwedenr so gut wie keine Sorgen. Warum:
Der Aufwand ist enorm. Ja, es ist theoretisch möglich. In der Praxis, wie bei vielen dieser "Fehler", sehr unwahrscheinlich. Die wahrscheinlichste Methode ist, man kauft sich Hardware, die bereits vom Werk/Lieferanten geflasht wurde. >Gab es alles schon mal. Wo kriminelle Energie steckt, gibt es immer einen Zugang.
So: Was kann daheim oder auch im Business passieren? Jemand muss Zugang zu einem Rechner bekommen, App, Treiber wie auch immer. Diese "Software" muss das Bios flashen, MoBo, Graka, SSD was auch immer. Sonst kann es sich nicht dauerhaft einnisten. Punkt. Dazu muss ein angepasstes Bios existieren. Bei der Menge an unterschiedlicher Hardware nahezu unmöglich. Aber theoretisch möglich.
Selbst dann könnte man mit einem sauberen Bios den Code beseitigen und das System sauber neu installieren.

 

[metoer]

Zumindest die komplette AM4 Plattform sollte schon gepatcht werden, das finde ich echt schlecht von AMD. Hoffentlich bekommen sie genug Gegenwind damit das noch gemacht wird.

Sich erst die lange Unterstützung des Sockels auf die Fahnen schreiben und dann wenns drauf ankommt nicht liefern, zum kotzen.

 

[peru3232]

Also erst mal: JA, die Lücke ist kritisch - aber: NEIN, niemand braucht da jetzt Panik deswegen schieben.

UND wichtig: der angekündigte Patch hilft NICHT gegen eine bereits vorhandene Infiltration.
Es ist daher praktisch völlig Banane, ob es für die älteren Ryzens Updates gibt oder nicht. Eigentlich auch bei den neueren.
Die wahrscheinlichste Art der Ausnutzung ist wie richtig erkannt, die großflächige Anwendung in organisatorischer Umgebung (wie die bekannt gewordene Infiltration der CISCO Router von der NSA vor deren Auslieferung) . Da sich der eingebrachte "Schädling" weder einfach aufspüren lassen kann, noch per Software sicher entfernen läßt, ist auch ein Fix bei bereits betroffenen Systemen nutzlos. Eher sogar schädlich, weil vorgegaukelt wird, dass es nun "sicher" sei.
Sogar bei Neusystemen kehrt nun keine "Sicherheit" ein. Denn prinzipiell ist es ja möglich, zuerst auf eine ältere "unsichere" Version der Firmware zurück zu flashen, dann wie gehabt zu Infiltrieren und anschließend wieder die "sichere" Version drüberzupappen.

Also: ihr könnt nichts dagegen tun, konntet es nie und werdet es auch niemals können. Und diese nun bekannt gewordene Lücke ist vermutlich nur eine von 1000en, die ausgenutzt werden kann.
Es gibt keine Sicherheit auf dieser Ebene - gab es nie und wird es nie geben.
Weder ein Hardwarehersteller wie AMD kann dies 100% sicher machen - und selbst wenn er es könnte, wird er von Regierungen gezwungen, entsprechende Backdoors einzubauen. Vielleicht auch diese "Lücke"...

 

[Mickey Cohen]

Über diese Lücke kann dann unbemerkt vom Betriebssystem und unabhängig davon 2. eine weitere Schadsoftware dauerhaft eingespielt werden. Die wird man im Grunde kaum noch los und kann den Rechner wegwerfen. Da die Schadsoftware auf Firmware-Ebene sitzt, müsste man mit einem SPI Flash Programmer auf Hardwareebene direkt an die Speicherchips rangehen. Nur mit Software geht da nichts.

wieso nicht? wenn die malware da mit einer lücke reingekommen ist, dann kann die malware auch mit derselben lücke wieder überschrieben werden.

ausser die malware ist so sophisticated, dass sie den patch gleich mitliefert.
wenn die malware es aber selbst schafft, die lücke zu patchen, dann bräuchte es wiederum nicht microcode vom amd um die lücke zu schließen.

also wie man es dreht und wendet - entweder man kann die malware wieder überschreiben oder die lücke kann (zumindest vor einer infektion) auch durch third-party patches geschlossen werden.was gut ist, weil man dann - vor einer infektion - auch die alten ryzen patchen kann.

 

[spamarama]

ich lasse daheim nen homeserver mit nem r5 2600 laufen. sollte ich den jetzt austauschen weil die kein update bekommen?

Nein wozu. Grundbedingung für den Exploit ist, dass der Angreifer bereits vollständige Kontrolle über dein System hat (root Rechte). D.h. du stehst eh schon mit runtergelassener Hose da. Z.B. Antivirus, Anticheat, HW Treiber haben diese Rechte bereits. Der einzige Benefit den der Angreifer jetzt noch hat, besteht darin, dass er sich permanent im System verankern kann, also auch eine Neuinstallation+ SSD Wipe überlebt.
Das ist für Geheimdienste und deren Machenschaften toll, für 0815 Ransomware völlig belanglos. Die Arbeit machen die sich (noch) nicht.

Der ganze Exploit zeigt eigentlich nur, dass es nicht toll ist, wenn irgendwo Sondermodi laufen, die Vollzugriff auf das System haben und bei denen man nicht weiß was sie genau können und wie die SW ausschaut. Intel Management Engine fällt genau in die gleiche Kategorie und ist seit Jahren ein Debakel!

 

[SirSilent]

Eine relativ aktuelle CPU wie den Ryzen 3000 als "alt" zu bezeichnen ist schon eine bodenlose Frechheit von AMD. Gerade in Zeiten, wo CPUs locker 10 Jahre in Rechnern rumwerken...

 

[metoer]

Also zumindest auf Systemen wo sich die UEFI Firmware per USB ohne CPU überschreiben lässt sollte man die Schadsoftware auch wieder los werden können. In den Artikeln wird nur gesagt das eine Neuinstallation des OS nichts bringen würde, was Sinn macht wenn sich der Schadcode im UEFI einnistet.

Meine Laien Lösung wäre alle Festplatten ausstecken und RAM ausbauen, UEFI Update starten und mittendrin den Strom abdrehen, UEFI ist gebrickt und kann nicht mehr booten also kann auch der Schadcode darin nichts mehr machen, UEFI update per USB Flashback durchführen, fertig

 

[Mracpad]

Also das schon die 3000er CPU kein Update bekommen, hinterlässt schon n ziemlich miesen Geschmack.

Betrifft mich mit meiner 5000er zwar nicht direkt, macht aber insgesamt als AMD Kunde trotzdem schlechte Laune.

 

[Whitehorse1979]

Und nochmal. Wir sind alle unwichtig

Naja so pauschal geht das aber nicht. Du kannst die Wichtigkeit der Leute hier nicht einschätzen. Es werden garantiert Journalisten, Politiker, Nachrichtendienstler, weitere Geheimnisträger und Kriminelle vertreten sein. Die sind schon wichtig. Und für diese Menschen kann die Lücke sehr problematisch sein.

 

[SSD960]

Wow, das ist wirklich hart!

Nur für die Benutzer die den Kopf nicht einschalten...

 

[Locutus2002]

Artikel-Update: Auf Nachfrage der Redaktion bei AMD, warum nur Ryzen 1000, 2000 und 3000 kein Update mehr bekommen, hat die Redaktion eine generische Antwort von AMD bekommen, in der darauf verwiesen wird, dass es in der schnelllebigen Techbranche üblich ist, dass der Softwaresupport für ältere Produkte eingestellt wird.

Unabhängig davon wie schwerwiegend diese Lücke nun wirklich ist und wie sehr die Hütte schon brennen muss, um sie ausnutzen zu können: wie man so eine Steilvorlage noch versemmeln kann, kann man sich eigentlich nicht ausdenken. Eigentlich.

Ladies and Gentlemen! Big Tech Productions präsentiert: die neueste Episode aus der Reihe "Epische AMD-PR-Fails".

Wie man aus einem Elfmeter auf ein leeres Tor doch noch ein Eigentor macht.

In den Hauptrolle: AMD als tragisch-dummer Torschütze.
Sogar die Nebenrolle ist mit Intel als leeres Elfmeter-Tor hochkarätig besetzt.

 

[ElliotAlderson]

@Locutus2002 ganz ehrlich? Ihr erwartet doch nicht ernsthaft, dass 20 Jahre alte Hardware geupdatet wird?
Kann AMD da nachvollziehen. Über die 6 Jahre kann man streiten, aber ich hätte das auch nicht für alle gebracht. Die wollen auch Geld verdienen.

 

[cookie_dent]

Über diese Lücke kann dann unbemerkt vom Betriebssystem und unabhängig davon 2. eine weitere Schadsoftware dauerhaft eingespielt werden. Die wird man im Grunde kaum noch los und kann den Rechner wegwerfen. Da die Schadsoftware auf Firmware-Ebene sitzt, müsste man mit einem SPI Flash Programmer auf Hardwareebene direkt an die Speicherchips rangehen. Nur mit Software geht da nichts.

Erst einmal vielen Dank für die Ausführung.
Offen bleibt für mich die Frage (sofern ich alles richtig verstanden habe), man bekommt einen Treiber oder *.exe untergeschoben, dieser lädt etwas unbemerkt nach, was in der Lage die Hardware zu flashen. Bis hierher alles Software.
Aber dann kann man mittels einer anderen Software die ursprüngliche, unifizierte Version, nicht mehr zurück flashen? Schützt diese sich selbst vor einem weiteren Flashvorgang?

 

[aid0nex]

Das weist du doch gar nicht. Keiner ist nicht keiner. Zum Beispiel FBI und wie sie nicht alle heißen.

Meine Aussage war ja auch generell und nicht auf dieses Beispiel bezogen. Was meinst du wohl, warum mein "keiner" fett gedruckt war?

 

[SweetOhm]

Und wenn ich mir jetzt eine über 20 Jahre alte CPU besorge, dann bin ich doch fein raus, oder ?

p.s. oder ganz was anderes

https://www.pcgameshardware.de/CPU-CPU-154106/News/Loongson-3B6600-gegen-Intel-1453509/

 

[FR3DI]

@ElliotAlderson
Nur das die ausgenommenen Modelle, keine 20 Jahre alt sind.

Gruß Fred.

 

[Locutus2002]

@ElliotAlderson
Niemand redet hier von 20 Jahre alter Hardware, sondern "nur" von Ryzens 1000-3000. Außerdem: Kosten hat AMD dadurch überhaupt keine, denn der Fix existiert für diese ja im Prinzip bereits: Embedded- und Epyc-CPUs mit den identischen Kernen werden ja mit einem entsprechenden Update versorgt. Hier hätte man angesichts Intels derzeitiger Schwäche völlig kostenlos erhebliche PR-Gewinne einfahren können. Stattdessen versemmelt man es mal wieder.

 

[Ranayna]

D.h. alle, die diese neu aufgelegte Boxed-Variante gekauft haben, haben noch Garantie und könnten das Produkt an AMD zurück schicken und auf Beseitigung des Mangels (Sicherheitsloch) oder bzw. auf adequaten Ersatz ohne Mangel bestehen.

Uhhh, AMD braucht also nochmal ein bisschen Beratung zu Verbraucherrechten
AMD verkauft direkt, sie (oder zumindest die Partner) sollten also wissen was Phase ist betreffs der Sachmangehaftung. Sicherheitsluecken sind Sachmaengel. Die Luecke war auch von Anfang an da, Beweislastumkehr ist hier also auch hinfaellig.
Und andere Haendler die die 3000er noch verkauft haben koennten auch ein paar mehr Ruecklaeufer bekommen, denn es ist ja der Haendler der in der Pflicht ist.

Von daher denke ich schon, wenn zumindest ein paar Kaeufer da hartnaeckig am Ball bleiben dass da noch ein Update auch fuer die 3000er kommen koennte.

Ergänzung (13. August 2024)

Ihr erwartet doch nicht ernsthaft, dass 20 Jahre alte Hardware geupdatet wird?

20 jahre ist natuerlich Bullshit und fordert keiner.
Aber CPUs die bis vor 2 Jahren (also innerhalb der Gewaehrleistungsfrist) verkauft wurden sollten gepatcht werden, sonst koennen Kaeufer einen Sachmangel geltend machen. Und das ist ja anscheinend bei einigen 3000ern der Fall.