News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren

[Neodar]

Warum muss es immer erst nen Aufschrei der Kundschaft geben? Dass zumindest auch die 3000er Ryzen gefixt gehören, hätte AMD echt von vornherein klar sein müssen.

 

[Obvision]

Bei den GPUs spielen die ja das gleiche Spiel. Im Gegensatz zu Nvidia sind da die Grafikkarten ja auch schneller EOL als man fast Piep sagen kann während Nvidia noch weiter fleissig Updates und erst recht Sicherheitsupdates bereit stellt.

Sicherheitsupdates... bei GPUs?

 

[KlaasKersting]

@duskstalker Die Lücke besteht seit 20 Jahren.

Was hat der Mob für Nachteile in den 20 Jahren gehabt?

Also so schlimm konnte die Lücke ja nicht sein, wenn der Mob nichts mitbekommen hat

Du verstehst den Unterschied zwischen einer unbekannten und einer bekannten Lücke?

Eine Lücke, die niemand kennt, kann auch nicht ausgenutzt werden.

Da sie nun bekannt ist, ist es nur eine Frage der Zeit, bis es entsprechende Versuche gibt.

 

[ComputerJunge]

Das Selbstzitat sei mir an dieser Stelle gestattet.

Prognose: In ein paar Tagen wird die offizielle Meinung geändert.

Warum muss man jedes mal einen Shitstorm beschwören, um dann doch nachzugeben?
Es ist unglaublich, wie so große Konzerne einen Marketingfail nach dem anderen raushauen.

Für mich die einzige Erklärung: Es hat Methode und wird von ganz oben gedeckt. Also in diesem Falle auch von Frau Su, welche von manchen als Heldin betrachtet wird.

Das fortwährend professionell versemmelte Marketing macht mich ja schon lange sprachlos. Was mich aber wirklich stört, ist die dadurch offensichtlich werdende Geringschätzung von Kunden (besser: eines Teils dieser). Und so etwas macht man nur , wenn man glaubt, es sich leisten zu können. Insofern ist AMD ein völlig normales, durchschnittliches und durchschaubares Unternehmen.

 

[Bügelbernd]

Im Endeffekt wie immer bei solchen Sicherheitslücken: Für 95% der User total irrelevant.

 

[ComputerJunge]

Gut, dass AMD die relevanten 5% kennt und gezielt mit Updates versorgt hat. Immerhin.

 

[Tharan]

Ryzen 3000 nicht mehr zu supporten bei sowas in der ersten Überlegung ist natürlich nicht schön, aber das ist mehr als 3 Generationen her, was im B2B Bereich sicherlich kaum zu finden sein wird. Solange diese aber weiterhin verkauft werden, und man findet den 3600 oder auch 4000G und andere noch sehr gut bei Geizhals vertreten, ist das schon ein sinnvoller Schritt für gute Publicity nach den aktuellen Marketingausfällen.
Aber das zeigt: Nur die 500er Chipsätze und Ryzen 5000 lebt quasi bei AM4 für AMD.

 

[Ranayna]

Sicherheitsupdates... bei GPUs?

Sicherheitsluecken in Treibern gibt es reichlich.

Dieses Jahr schon drei bei nVidia:
https://www.nvidia.com/en-us/security/

Zwei bei AMD:
https://www.amd.com/en/resources/product-security.html#security

Und zwei bei Intel:
https://www.intel.com/content/www/us/en/security-center/default.html

Ich hab die Luecken jetzt nur ueberflogen, aber sowohl eine der Lucken bei Intel und die nVidia Luecken erlauben Code Execution.
Und die Hardware, bzw. das vBIOS direkt anzugreifen ist zumindest nicht grundsaetzlich auszuschliessen.

 

[0x8100]

Sicherheitsupdates... bei GPUs?

glaubst du, da gäbe es keine lücken? die haben wie cpu-bugs auch eigene logos

 

[HyperSnap]

Eine Lücke, die niemand kennt, kann auch nicht ausgenutzt werden.

Und woher willst du wissend as die Lücke nicht irgend jemanden bekannt war?
Jemand der so etwas rausfindet und nicht so der Brave Bürger ist wird wohl sowas ausnutzen und nicht an die große Glocke hängen.

Problem hierbei ist der Zeitraum keiner kann sagen wielange da schon irgendwo etwas ausgenutzt wurde.

 

[Hatsune_Miku]

Was mich mal interessieren würde, wie sieht das denn aus wenn ein system kompromitiert ist und man hinterher dann das Bios Update drüberbügelt?

 

[E1M1:Hangar]

@Hatsune_Miku Bringt dir garnichts. Dann ist das System infiziert und das war es.

Entweder hast wen, der das Ding dann in mühsamer Analyse etc. bereinigt oder kaufst neu. Problem ist ja, dass selbst für Leute mit extrem viel Plan erstmal die Infektionsverifizierung extrem schwierig ist.

Also WENN eine Infektion erkannt wird, was schon Aufwand ist, dann ist halt die Frage inwiefern dir deine Hardware lieb ist.

Aber so normal... würdest das glaube nicht mal groß mitbekommen.

Das ist halt das Ding bei der Geschichte.

 

[NguyenV3]

Was mich mal interessieren würde, wie sieht das denn aus wenn ein system kompromitiert ist und man hinterher dann das Bios Update drüberbügelt?

Bringt nichts. Aus der Originalquelle im Artikel heißt es:

Spoiler

Only opening a computer's case, physically connecting directly to a certain portion of its memory chips with a hardware-based programming tool known as SPI Flash programmer and meticulously scouring the memory would allow the malware to be removed, Okupski says.

Nissim sums up that worst-case scenario in more practical terms: “You basically have to throw your computer away.”

 

[ShiftC]

Was mich mal interessieren würde, wie sieht das denn aus wenn ein system kompromitiert ist und man hinterher dann das Bios Update drüberbügelt?

Wenn der Schadcode tatsächlich so eingenistet wird, wie die Forscher das erklären, dann kann er, sofern "guter" Schadcode, jegliche BIOS-Updates überstehen. Da du aber nicht wüsstest, auf welchem Speicher bzw. auf welcher Hardware der Code sich eingenistet hat, müsstest du für ein reines Gewissen alle Komponenten tauschen, die auch einen nichtflüchtigen Speicher haben. GPU, Mainboard, SSD (nicht wegen dem Anwenderspeicherbereich). Theoretisch wäre sogar dein RAM fällig, weil auch er, wenn auch klein, einen Festspeicher besitzt, wo ID oder Profile usw. hinterlegt sind. Man kann eigentlich alles, was eine Firmware besitzt, dazu zählen.

Ist die natürlich die Frage, wie weit waschechte Profihacker (damit sind nicht irgendwelche Skriptschreiber, sondern Coder mit knallharten Fähigkeiten gemeint) gehen und welche Hardwarekomponenten sie berücksichtigen würden. Vermutlich wäre es aus Hackersicht sinnvoller, sich auf einen Bereich/Hersteller zu fokussieren.

Die Hersteller der jeweiligen Komponenten selbst hingegen wüssten sehr wohl, wie sie einen eingenisteten Schadcode entfernen können. Dabei müssen die nicht mal wissen, in welchem Speicherbereich genau dieser sitzt oder was er macht. Das hatte ich einige Posts vorher beschrieben, was man dafür praktisch tun muss und solche Mittel haben Hersteller definitiv, sonst könnten die ihre Hardware selbst nicht bauen.

 

[murchad]

Warum muss es immer erst nen Aufschrei der Kundschaft geben? Dass zumindest auch die 3000er Ryzen gefixt gehören, hätte AMD echt von vornherein klar sein müssen.

Naja wozu die muehe machen wenn das nur einen kleinen prozentsatz der Kunden betrifft und viel Geld kostet?

Mal abgesehen davon kostet ein upgrade auf zen3 nicht viel und ist es definitiv wert.

 

[Fegr8]

Ist ja schön und gut, aber was ist mit Ryzen 1000 und 2000, meiner Meinung nach sollten ALLE CPUs bei AM4 und AM5 berücksichtigt werden, denn beide Plattformen werden aktiv genutzt und AMD verkauft bei AM4 noch munter weiter Produkte.
Bei noch älteren Plattformen kann ich es noch verstehen, dass sie da nichts mehr machen, in Ordnung, aber Ryzen 1000 und 2000 werden sicher noch längere Zeit im Gebrauchtmarkt gekauft.

Desktop Ryzen 2000 könnte vielleicht auch noch nachträglich eins bekommen den bei den Mobile-Version Ryzen 3000 mit Zen+ hat ein Fix bekommen. Abwarten.

Ryzen 1000 kann ich voll und ganz verstehen wieso hier nicht mehr die Mühe gemacht wird: Zen(1) hatte sehr viele Hardware-Bugs die mit Zen+ kurz darauf behoben wurde. Deshalb hat auch damals AMD mit Windows kommuniziert das Zen+ die Mindestvoraussetzung für Windows 11 ist.

 

[Ostfriese]

Falls es hier noch nicht erwähnt wurde, bislang scheint nur MSI ein BIOS anzubieten, das die Sicherheitslücke schließt.

Z.B. für das MAG X670E Tomahawk Wifi, BIOS 7E12v1E vom 13.08.2024:

"Fixed CVE-2024-36877 security issue."

Mal sehen wann und ob die anderen MB-Hersteller nachziehen.

Korrektur:
Der Fix bezieht sich auf eine andere Sicherheitslücke.

 

[Legalev]

Du verstehst den Unterschied zwischen einer unbekannten und einer bekannten Lücke?

Eine Lücke, die niemand kennt, kann auch nicht ausgenutzt werden.

Da sie nun bekannt ist, ist es nur eine Frage der Zeit, bis es entsprechende Versuche gibt.

Ist mir klar.
Mir ist aber auch bewusst, das mein System schon Infiziert sein muss um die Lücke aus zu nutzten.

 

[CB.R]

Damit die Kunden mal ein flüssiges Smart-TV Erlebnis haben?

Haben sie doch, bzw. können sie doch haben.
Ich bin mit VIDAA U6 dahingehend sehr zufrieden, das läuft tatsächlich flüssig.

Sicher gibt es Unterschiede zwischen den implementierten Systemen, da herrscht eben viel Stückwerk, jeder macht seins.
Gerade im Bereich Unterhaltungselektronik ist der Konnkurrenz und Kostendruck so hoch wie nirgendwo anders, da zählt jeder gesparte Cent.

Welches System meinst du speziell, was dir schlecht und evtl. zäh vorkommt? Welcher Hersteller und vor allem wie alt?
Obwohl das etwas vom Thema AMD CPU und 20 Jahre alte Siherheitslücke, weg ist.

 

[0x8100]

"Fixed CVE-2024-36877 security issue."

sinkclose ist CVE-2023-31315, der von dir erwähnte cve ist was msi-spezifisches und kommt nochmal dazu. für sinkclose braucht man für zen4 das ComboAM5PI 1.2.0.1 und das erwähnte bios enthält noch 1.2.0.0a.