News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren

[ShiftC]

Das fiese an solch komplexen Lücken ist eben genau die Komplexität. Wer in der Lage ist, solch komplexe Lücken auszunutzen, ist auch in der Lage, sich nicht entdecken zu lassen (gerade im Hinblick auf die Leveltiefe der Lücke). "Dass dann vorher meistens schon Feierabend" ist, stimmt zwar, ist aber weiterhin jener Feierabend, den ein Nutzer ja gar nicht mitbekommt, denn dann wäre es ja "entdeckt" und der Nutzer wüsste zumindest, DASS er überhaupt eine Maßnahme treffen sollte, auch wenn dies ein neues Mainboard oder je nach Fähigkeiten ein manuelles ROM-Flashen mit Hardware Programmer bedeuten würde.

Deshalb sollte man solche Lücken grundsätzlich nicht kleinreden, egal ob es auf privat oder enterprise bezogen wird. Beide Welten werden von Menschen besetzt.

 

[Firefly2023]

Finde ich ehrlich gesagt überhaupt nicht okay, dass es bei einer so schweren Sicherheitslücke keine Updates mehr für alte Ryzen-Prozessoren gibt.
Wenn ich das richtig verstanden habe, kann ich damit mein System wegschmeißen, wenn ich mir mal was einfangen sollte. Klassische Wege wie Neuinstallation bringen dann ja nichts und ich habe keine Möglichkeit zu erkennen, ob ich betroffen bin oder nicht.

Ich sage es mal deutlich und nicht böse gemeint. Du bist, wie viele andere private Nutzer zu unwichtig. Diese „Sicherheitslücke“ ist für Privatrechner unkritisch. Wegschmeißen musst du gar nix, es sei denn du findest dich wichtig!

Ergänzung (12. August 2024)

Also mal ganz ehrlich. Die Nachricht kursiert seit ein paar Tage im Netz. Wenn es denn so schlimm wäre, warum kommt die Menschheit mit dem Problem seit 20 Jahren zurecht?

Weils keinen interessiert. Ich amüsiere mich gerade köstlich, wieviele hier glauben wie wichtig sie und ihre Systeme sind. Wenn ihr sie wegschmeißen wollt, ich nehme Sie.

 

[gur_helios]

@Firefly2023

Haja... mit Ignoranz lebt es sich nun mal einfacher und sorgenfreier. Ah ja... und ebenfalls deutlich ausgesprochen, jedoch nicht böse gemeint.

 

[Syrato]

Wow, das ist wirklich hart!

Es ist nicht gut, aber wenn er mit Sinkclose drin ist, hat er schon auf alles Zugriff.

 

[Firefly2023]

Also sollte AMD wirklich für gerade mal 6 bis 7 Jahre junge Prozessoren keine Sicherheitsupdates liefern, sehe ich keinen Grund mehr denen auch nur noch einen Euro in den Rachen zu werfen. Da kauf ich dann lieber abstürzende Intel CPUs.

Was ihr für ein Drama macht…bissel lächerlich oder?

 

[Boimler]

Du bist, wie viele andere private Nutzer zu unwichtig. Diese „Sicherheitslücke“ ist für Privatrechner unkritisch.

Ohne jetzt Experte zu sein, aber es gibt ja durchaus auch staatliche Stellen, die Spionagesoftware oder ähnliches benutzen und sicherlich nicht die Sicherheitslücke publik machen, die sie dafür ausnutzen. Da kann man als Journalist, Blogger oder Influencer ganz schnell "wichtig" werden. Pegasus lässt grüßen. Ich teile daher die Einschätzung, man wäre als Privatperson oder als Besitzer alter Hardware uninteressant nicht.

 

[Firefly2023]

@Firefly2023

Haja... mit Ignoranz lebt es sich nun mal einfacher und sorgenfreier. Ah ja... und auch deutlich und nicht böse gemeint.

Das hat mit Ignoranz nichts zu tun, sondern mit einer ganz nüchternen Betrachtung der Bedrohungslage und die tendiert für Privatanwender gegen 0.

 

[iGameKudan]

Genau das mein ich mit Panik, Leute die glauben wenn ihr PC nicht 100% sicher ist das man sie dann weg werfen muss, wenns danach geht kannst auch direkt all deine PCs und besonders dein Handy (die sind die schlimmsten mit dem Rootkit als Firmware im Modem) in die Tonne treten.

Ich hoffe ja wahrlich, dass es ähnlich wie bei Meltdown und Spectre am Ende doch nur viel Panik ist und am Ende doch alles halb so schlimm ist.

In diesem Fall scheint es aber gegenwärtig so, dass nur ein Stück (infizierte) Software mit Zugriff auf den Ring 0 reicht, dass das System bzw. dessen Firmware im Ernstfall dauerhaft infiziert wird und der Angriff schlimmstenfalls sogar kaum erkannt/behoben werden kann. Das klingt für mich nach einer ganz anderen Liga was die Ausnutzbarkeit der Lücke angeht wie Spectre und Meltdown.

Und das Schlimme an der Sache ist: AMD will die Fixes offenbar gegenwärtig eben nur für Epyc, Ryzen 5000/6000/7000/8000 und 9000 anbieten. Was ist mit den immernoch sehr weit verbreiteten und relativ aktuellen Ryzen 1000/2000/3000? Und den vermutlich noch zahlreich in Verwendung befindlichen AMD FX-Systemen? Und da es eben nur ein Stück infizierte Software braucht, wage ich zu behaupten, dass einzig ein Firmware- bzw. später hardwarebasierter Fix die Lücke effektiv schließt, weil das die Stelle mit dem kleinsten gemeinsamen Nenner ist. Liege ich richtig, wäre es ein ernsthaftes Problem für sämtliche Systeme ohne Fix.

Für mich als Laie klingt die ganze Sache doch schon ein wenig ernster wie bspw. damals mit Meltdown und Spectre, wo Microcode- und OS-/Softwarefixes sowie in späteren CPUs hardwarebasierte Maßnahmen ein Ausnutzen der Lücke quasi unmöglich gemacht haben, ein Angriff eben keine dauerhaften Auswirkungen aufs System hatte und ein Angriff eh SO kompliziert und langsam war, dass er nur in sehr speziellen Szenarien interessant war.

Mal schauen.

 

[gur_helios]

Das hat mit Ignoranz nichts zu tun, sondern mit einer ganz nüchternen Betrachtung der Bedrohungslage und die tendiert für Privatanwender gegen 0.

Es obliegt dir jedoch nicht zu differenzieren, welche Bedrohungslage welcher Anwender für Dritte darstellt. Deine Deduktion ist folglich inkonsistent und muss verworfen werden.

 

[Ranayna]

@XamBonX, @gur_helios
Ueber die bin ich beim nachschauen von BIOS Updates auch gestolpert.
Ist tasaechlich prinzipiell aehnlich wie SinkClose, bestifft aber nur MSI Boards, aber dafuer sowohl Intel als auch AMD Boards.

Details hier:
https://jjensn.com/at-home-in-your-firmware/
Sehr spannender Writeup.

 

[gur_helios]

@XamBonX, @gur_helios

Details hier:
https://jjensn.com/at-home-in-your-firmware/
Sehr spannender Writeup.

Jap, der Artikel ist interessant. Über selbigen bin ich bei der Suche auch gestolpert.

 

[znarfw]

Also nach diesem Link
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

DESKTOP CVE AMD Ryzen™ 3000 Series Desktop Processors (Formerly codenamed) “Matisse” AMD Ryzen™ 5000 Series Desktop Processors (Formerly codenamed) “Vermeer” AMD Ryzen™ 5000 Series Desktop processor with Radeon™ Graphics (Formerly codenamed) “Cezanne” AMD Ryzen™ 7000 Series Desktop Processors (Formerly codenamed) “Raphael” X3D CVE-2023-31315 No fix planned ComboAM4v2PI 1.2.0.cb (2024-07-30) ComboAM4v2PI 1.2.0.cb (2024-07-30) ComboAM5PI 1.2.0.1 (2024-08-07)

wenn ich das richtig verstehe, gibt es für die meisten Boards ja schon Biosupdates, für meinen 5800x3D mit dem X570 Aorus Elite schon seit AGESA v2 1.2.0b aktuelles Bios ist AGESA v2 1.2.0c

1. Checksum : 1908
2. Update AMD AGESA V2 1.2.0.B
3. Fix AMD processor vulnerabilities security
4. Addresses potential UEFI vulnerabilities. (LogoFAIL)

 

[JustAnotherTux]

Hmmmm was ist mit embedded chips ?

Bei mir läuft Opnsense auf einem Ryzen Embedded v1500b.

Ergänzung (12. August 2024)

Okay scheinbar bekommt die V1000 embedded Serie einen Patch.
Zumindest laut tomshardware

 

[znarfw]

Bei mir läuft Opnsense auf einem Ryzen Embedded v1500b

Sollte nach dem Link in #173 mit AGESA 1.2.0.D im Oktober kommen.

 

[JustAnotherTux]

n diesem Fall scheint es aber gegenwärtig so, dass nur ein Stück (infizierte) Software mit Zugriff auf den Ring 0 reicht, dass das System bzw. dessen Firmware im Ernstfall dauerhaft infiziert wird und der Angriff schlimmstenfalls sogar kaum erkannt/behoben werden kann. Das klingt für mich nach einer ganz anderen Liga was die Ausnutzbarkeit der Lücke angeht wie Spectre und Meltdown.

Vorallem weil vermutlich kein Fix auf Betriebssystemebene möglich sein wird.
Bei Meltdown und Spectre wurden ja auch Workarounds auf Betriebssystemebene und teiweise auch Anwendungsebene umgesetzt bzw. waren möglich.

Bei dieser Sicherheitslücke wird es wohl nur über die Firmware möglich sein.

 

[Firefly2023]

Es obliegt dir jedoch nicht zu differenzieren, welche Bedrohungslage welcher Anwender für Dritte darstellt. Deine Deduktion ist folglich inkonsistent und muss verworfen werden.

Was mir obliegt und was nicht, entscheide ich und ich bin mit meiner Meinung nicht alleine. Da kannst du noch so geschwollen schreiben.

Ergänzung (12. August 2024)

Für das MSI MAG B550 Tomahawk gibt es auch schon ein Biosupdate. Spiele es gerade auf und dann ist für mich das Thema erledigt.

 

[TechFunk]

Fühlt sich da ein Intel Fanboy, mit anscheinend nicht viel Ahnung, ans Bein gepinkelt?

Das einzige "schlimme" ist, dass 3xxx und ältere CPUs keine Updates bekommen.

Nö. Mir gefällt es ja, das zurzeit AMD vorne ist. Aber an deinem Post sieht man: AMD ist hier im Forum heilig!

Und ich will sagen. Weder AMD, noch Intel noch Arm sind Wohlfahrtsvereine.

Risc-V wäre gut!

Und jede Architektur, und sogar ich als Linux Fanboy sage: sogar Linux hat lücken.

 

[Klingeldraht]

wenn ich das richtig verstehe, gibt es für die meisten Boards ja schon Biosupdates, für meinen 5800x3D mit dem X570 Aorus Elite schon seit AGESA v2 1.2.0b aktuelles Bios ist AGESA v2 1.2.0c

Für das B450I ist es genauso, BIOS wurde schon bereit gestellt:

 

[znarfw]

Für das MSI MAG B550 Tomahawk gibt es auch schon ein Biosupdate.

Da bin ich mir jetzt bei dir und auch bei mir nicht mehr so sicher, scheinbar wurde da etwas anderes gefixt.
Dachte es gibt nur ein 1.2.0.b und ein 1.2.0.c , da dein Bios jetzt ein 1.2.0.ca ist kommt wahrscheinlich noch ein 1.2.0.cb das diese Lücke fixt.

 

[Ranayna]

Für das MSI MAG B550 Tomahawk gibt es auch schon ein Biosupdate. Spiele es gerade auf und dann ist für mich das Thema erledigt.

Auch hier nochmal wiederholt: Die Updates die es aktuell bei MSI Boards gibt sind nicht fuer SinkClose!

Für das B450I ist es genauso, BIOS wurde schon bereit gestellt:

UEFI vom 11. Juli, wenn doch im AMD Advisory der 30. Juli als Release steht? Dieser Fix ist nicht fuer SinkClose.