News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren

[up.whatever]

Habe mein Asrock x570 Board ebenfalls auf das aktuelle BIOS mit AM4 AGESA 1.2.0.Cc aktualisiert. Keinerlei Probleme, alles funktioniert einwandfrei.
Warum sollte ich mir einreden, dass die Lücke nicht so wichtig ist, wenn ich sie auch einfach fixen kann?

 

[Ranayna]

aber machst du auch ein update da für

Ja, habe ich auf alle Faelle vor. Nur nicht unbedingt eine BETA.

Und hey die Lücke gibt's schon 20 Jahre.

Der Unterschied zwischen einer unentdeckten Luecke, und einer Luecke die gut dokumentiert ist, ist dir aber schon klar?
Alleine dass es jetzt bekannt ist das das eine Luecke ist, ist ein grosser Unterschied.

 

[MSI-MATZE]

Ja klar ist mir bekannt, aber als privat Person

eher für mich irrelevant für große Firmen wo man Schaden anrichten kann wie BASF oder SAP aber als privat Person eher nicht so schlimm.

Ergänzung (7. September 2024)

So sehe ich das auf jeden Fall, in paar Monaten interessiert es eh keinen mehr im großen und ganzen.

Zur corona Impfung ist auch jeder gerannt und hat sich Impfen lassen, ist zwar was anderes aber interessiert heute auch keinen mehr.

Nicht falsch verstehen hier, jeder kann ja machen was er möchte und für richtig hält.
Will jetzt kein shitstrom oder so was anrichten.
Wollte wie gesagt nur meine Meinung da zu äußern.

 

[SavageSkull]

Es wird bestimmt noch die ein oder andere Lücke geben die vielleicht noch nicht bekannt ist und es stört erst die Leute wenn sie offen gelegt wurde.
Und hey die Lücke gibt's schon 20 Jahre.

Wenn die Lücke bekannt geworden ist, bedeutet das, dass man sie auch ausnutzt.
Wenn sie keiner kennt, passiert nix.

Du hast bei dir im Haus ein Fenster seit 20 Jahren offen.
Jetzt weiß auch jeder, dass es offen steht. Eben auch der Dieb, der es vorher vielleicht nicht gewußt hatte.

Du kannst es jetzt offen stehen lassen (nix tun) und hoffen, dass nachdem die ganze Welt weiß, dass es offen steht, hoffen, dass kein Einbrecher vorbeikommt,
oder es einfach schließen (einmal BIOS flashen)

Ja, wenn man den RAM manuell eingestellt hat, kann das etwas nerven, aber es ist ja nicht so, als ob man das so oft macht, dass man jetzt Lebenszeit dran verliert.

Ich werde die Tage auch alles Updaten (3 Systeme)

 

[jff2k]

ASUS scheint bislang noch nichts zu aktualisieren. In der Vergangenheit war ASUS in meiner (natürlich rein subjektiven) Erinnerung schneller. Im Moment gibt es aber noch nichts Neues, die aktuellste AGESA-Version ist überall ComboV2PI 1.2.0.Ca

Und wenn ich mir die BIOS-Historie anschaue, dann überspringen die Taiwaner scheinbar immer ein paar AGESA-Versionen: PRIME-B550M-K, PRIME-B450M-A, ROG STRIX B550-F GAMING WIFI II, ROG Strix X570-E Gaming 🤔

Ich sehe es wie @SavageSkull: Die Lücke ist öffentlich, recht heftig in der Auswirkung, verschleiert eine Infektion und macht sie praktisch unumkehrbar. Viele günstige OEM-Rechner werden wahrscheinlich nach den ersten Monaten gar keine BIOS-Updates mehr erhalten. Hat man jedoch die Möglichkeit, kann jeder für sich selbst die potentiellen Auswirkungen beurteilen und sich für oder gegen ein Update entscheiden. Ich mache bei meinen Systemen immer wieder BIOS-Updates, gerade weil damit Sicherheitslücken geschlossen werden.

 

[schrht]

Wenn die Lücke bekannt geworden ist, bedeutet das, dass man sie auch ausnutzt.
Wenn sie keiner kennt, passiert nix.

Nicht notwendigerweise. Eine Lücke kann bekannt sein, die Voraussetzungen für eine Ausnutzung aber so hoch, dass es für die meisten Angreifer:innen nicht einmal möglich ist. Und die, für die es möglich ist, nutzen weiterhin die selben gut abgehangenen Schwachstellen oder seit zehn Jahren nicht mehr geänderte Passwörter für Fernzugänge über RDP.

 

[tusen_takk]

Mein MSI X570 Unify und B450-A PRO MAX bekamen ein Beta-BIOS:
- AGESA ComboAm4v2PI 1.2.0.Cc update
- Added security issue of SMM Lock Bypass uCode fix aka “Sinkclose”

AsRock B550 Phantom Gaming 4 bekam noch kein Update.

 

[Vincy]

AsRock B550 Phantom Gaming 4 bekam noch kein Update.

3.46 [Beta]

2024/8/21

14.80MB

Instant Flash[IMG]https://pg.asrock.com/images/icon-help.png[/IMG]

Update AMD AM4 AGESA Combo V2 PI 1.2.0.Cc to patch SMM Lock Bypass security issue.​

[IMG]https://pg.asrock.com/images/dl-pg.png[/IMG] Global

[IMG]https://pg.asrock.com/images/dl-pg2.png[/IMG] China

https://pg.asrock.com/mb/AMD/B550 Phantom Gaming 4/index.asp#BIOS

 

[tusen_takk]

Danke, tatsächlich übersehen @Vincy

 

[Kurt Blahovec]

Hallo.

(Ryzen 5 3600)
Kurze Frage:
Fürs MSI B450 Tomahawk Max gibt es mit Datum 5.9.24 ebenfalls ein BIOS-Update, das die Sinkclose-Lücke schließen soll. Allerdings ist es nur eine Beta-Version. Obwohl nie etwas schief gegangen ist, installiere ich BIOS-Updates nicht sonderlich gerne/oft (letztes Mal: Herbst 23).
Wie sieht es bei MSI aus, sind die Beta-Versionen brauchbar oder sollte ich lieber auf eine reguläre Version warten bzw. kann man abschätzen, wann eine solche Version fertig ist? Oder ist Sinkclose auch für mich als Privatanwender so heiß, dass ich die Beta-Version schon am besten beim Release installiert hätte?

mfg.

 

[up.whatever]

Naja, bei den alten AM4 Boards ist es fraglich, ob überhaupt noch reguläre BIOS Updates veröffentlicht werden. Zig Jahre nach Release der Hardware macht es für den Hersteller nur noch begrenzt Sinn, viel Zeit ins testing der Updates zu investieren.

 

[Ranayna]

Ich weiss nicht ob noch AM4 Boards in Produktion sind. Aber verkauft werden sie noch, auch noch neu.

Dementsprechend muss zumindest der Grosshandel in der EU und Australien (die haben aehnlich starke Verbraucherrechte) den Herstellern im Nacken sitzen die Luecke zu schliessen.
Denn sonst sitzt der Handel im Fall der Faelle auf dem Schaden, wenn Benutzer anfangen ungefixte Boards zu reklamieren.

Denn Sicherheitsluecken sind Sachmaengel:
https://www.openpromos.de/magazin33_artikel06/#:~:text=Denn das Gesetz regelt allgemein,oder einen Unternehmer verkauft wurde.

 

[syfsyn]

Die agesa updates sind ausgerollt und werden auch zukünftig ausgerollt werden da dies kaum Arbeit ist für die Mainboard partner.
Das prüfen beschränkt sich auf die integration ins uefi da wird nur geprüft ob noch alles stabil läuft
ram pcie slot und usb Verbindungen
Durch die letzten agesa ist xmp quasi bei den meisten mainboards nicht mehr stabil. ist aber je nach cpu gen nur auf die offiziellen Werte gesunken.

 

[Robo32]

Die Hölle ist zugefroren^^

CROSSHAIR VI HERO BIOS 8801
Version 8801
10.89 MB 2024/10/07
1.Update AGESA version to ComboV2PI 1.2.0.Cc
2.Improve security
3.Improve system stability
Before running the USB BIOS Flashback tool, please rename the BIOS file (C6H.CAP) using BIOSRenamer.

 

[Ja_Ge]

Durch die letzten agesa ist xmp quasi bei den meisten mainboards nicht mehr stabil.

Woher kommt diese Erkenntnis? Wusste ich bisher nicht, da meine drei B450 Boards da kein Problem haben. Laufen problemlos, zwei mit 3200 CL 14 und eins mit 3200 CL 16.

Asus TUF Gaming, ASUS Prime und MSI A Pro, haben alle schon das 1.2.0.Cc bekommen.

 

[syfsyn]

Das ist die frage was man als stabil bezeichnet für mich und die meisten ist es wenn ein system nie irgendwelche software abstürze hat und keine Aussetzer wie einfrieren bei hoher Datenlast.
100% cpu load und nebenher Speicherlastige Arbeit erledigen.
Etwa encoding mit nebenher Datenkomprimieren (winrar) und video ansehen da darf nix zuckeln oder stehenbleiben.
ist zwar mittlerweile seltener da ich weniger daten hin herschiebe (>Videobearbeitung)
Das ging mit agesa bis zu 1.2.0.3 danach war Schluss mit ddr4 3600 in vollen Bestückung selbst ddr4 3200 lief nicht mehr in 2 slot Belegung einzig ddr4 2133 oder ddr4 2666 hatte ich bei min 4 mainboards gesehen
Die Ursache liegt an den fixes für die zen Sicherheitslücken. Der letzte side channel attack war Schluss mit xmp das ist nun ne option die man manuell ausloten muss.
Das macht kein mainboard mehr automatisch. Die folge ist das ddr4 3200 bis zen2 laufen kann ddr4 3600 aber selbst limit zen3 nicht stabil ist somit ist die Empfehlung
zen3 ddr4 3000 zen2 ddr4 2666
Der kleine unterschied bringt nix zumal das manuell eingestellt werden muss.
Wenn zen3 dann nur den 5700x3d mit jedec ddr4 2666 oder ddr4 2133

amd hatte nie mehr als ddr4 3200 unterstützt und das sogar mit oc Hinweis sicher sind nur jedec ddr4 2666
Wer mutig ist flasht sein ueif zurück auf 1.2.0.3 da gehen die ddr4 3600 problemlos.
Die Sicherheitslücken sind aber zu ernst um das zu machen.

 

[Ja_Ge]

Also geht es nur um deine eigenen Erfahrungen und Probleme in einer ganz bestimmten Konstellation? Dann hast du das mit deiner globalen pauschalisierung daraus sehr ungünstig ausgedrückt.

 

[GokuSS4]

DDR4-3200 ist schon ideal bei Zen3, alles andere treibt leider die Spannungen in die Höhe. werde mal abwarten, bis das BIOS aus der beta raus ist.

 

[WommU]

...
Das ging mit agesa bis zu 1.2.0.3 danach war Schluss mit ddr4 3600 in vollen Bestückung selbst ddr4 3200 lief nicht mehr in 2 slot Belegung einzig ddr4 2133 oder ddr4 2666 hatte ich bei min 4 mainboards gesehen
Die Ursache liegt an den fixes für die zen Sicherheitslücken. Der letzte side channel attack war Schluss mit xmp das ist nun ne option die man manuell ausloten muss.
Das macht kein mainboard mehr automatisch. ...

Also so pauschal kann man das nicht sagen. Auf meinem Asus PRIME B350-PLUS mit BIOS 6042 AGESA V2 PI 1.2.0.7 mit 5900x laufen 4x 8GB Crucial Ballistix (die Guten) mit 3200 MHz automatisch vom Board eingestellt. Ohne Probleme seit ca.1,5 Jahren, davor ebenso mit einem 3700x.

 

[Nutellaloeffler]

Hätte da mal ein paar Fragen!! Ist Sinkclose denn sehr einfach auszunutzen für potentielle Täter ?

Ist Punkbuster welches bei mir durch ein Spiel (welches kann ich nicht genau sagen) mit installiert wurde, jetzt ein Problem? Nutzt es den Ring0 ?

Punkbuster ist ja permanent im Taskmanager. Besser deinstallieren oder wie sollte man sich verhalten?


Das MSI B550 Tomahawk hat bis jetzt "nur" eine Beta Bios Version. Sollte man ruhig auf die offizielle warten, wenn man kein Beta Bios möchte?

Wie gefährlich ist Sinkclose denn für Privatanwender?