Notiz UEFI/AGESA-Patch nötig: Sicherheitslücke in AMD-APUs von 2016 bis 2019

Volker

Ost 1
Teammitglied
Registriert
Juni 2001
Beiträge
18.786
Eine Sicherheitslücke in einigen AMD-APUs, die in den Jahren 2016 bis 2019 ausgeliefert wurden (genaue Modelle nennt AMD nicht), kann zur Ausführung von Schadcode genutzt werden. AMD will bis Ende Juni alle AGESA-Updates für Client- und Embedded-Systeme bereitstellen, die Mainboardhersteller zeitnah einspielen sollen.

Zur Notiz: UEFI/AGESA-Patch nötig: Sicherheitslücke in AMD-APUs von 2016 bis 2019
 
  • Gefällt mir
Reaktionen: AudioholicA, Baal Netbeck, SebiLegend und 5 andere
Na wenigstens kommt AMD direkt mit nem AGESA Update um die Ecke und es dauert nicht noch Monate, bis sich was tut.
Und wenn es wirklich so simpel zu beheben ist und keine größeren Einschnitte ins System bzw. dessen Performance bedeutet, kann man das verschmerzen.
 
  • Gefällt mir
Reaktionen: catch 22, rentex, LuckyMagnum und 2 andere
Ich bin gespannt auf mehr Details und habe bereits die Popcorn Maschine angemacht für die Intel vs. AMD Diskussion.
 
  • Gefällt mir
Reaktionen: LukS, KlaraElfer, Discovery_1 und 14 andere
"AGESA-Patch" "AGESA-Update".
Was heißt das? Verstehe ich doch richtig, dass dann beispielsweise 1.0.0.6B rauskommen wird? Dann hätten wir 300er-Chipsatzkunden immerhin eine Art Druckmittel doch noch BIOS-Updates zu veröffentlichen. Immerhin geht es um eine Sicherheitslücke.
 
  • Gefällt mir
Reaktionen: AudioholicA, NMA, Transistor 22 und 2 andere
Früher wurde Schadcode verwendet, um Admin-Rechte zu bekommen..
Heute werden Admin-Rechte benötigt. um Schadcode verwenden zu können..
 
  • Gefällt mir
Reaktionen: AudioholicA, yxman, ShiftyBro und 24 andere
Könnte einen Krimi/Krieg geben in den Kommentaren 😄
Offenheit ist schonmal eine gute Sache, obwohl die Zeit bis dahin ja nicht bekannt ist. Vielleicht Taktik, dass bereits Gegenmaßnahmen ergriffen sind bei Bekanntgabe.
 
Ich verstehe nicht ganz. Mit Admin rechten kann ich doch eh schon machen was ich will. Oder geht es darum eine geschlossene OEM Umgebung zu knacken?
 
Wenn die Lücke keine Leistung kostet und schnell gepatcht wird.. Gibt schlimmeres.

Immerhin kann keiner mehr behaupten "bei AMD sucht ja keiner" das war schon immer Blödsinn.
Fakt ist einfach dass AMD beim Design von ZEN auch auf Sicherheitsaspekte Wert gelegt hat und dessen ständige Prüfung und Validierung ein wichtiger Bestandteil dieser Sicherheitskultur ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Baal Netbeck, Harpener, BLR und 14 andere
Schade, dass die genauen CPUs nicht bekannt sind, ansonsten aber vorbildlich: Problem/Lücke erkannt, Update zur Behebung inklusive zeitnahem Termin angekündigt.
 
  • Gefällt mir
Reaktionen: Chismon und Rockstar85
Shririnovski schrieb:
Schade, dass die genauen CPUs nicht bekannt sind, ansonsten aber vorbildlich:
Vielleicht ist das auch noch nicht 100% sicher. Und man möchte den Vorwurf einer Salamitaktik vermeiden.
 
mace1978 schrieb:
Vielleicht ist das auch noch nicht 100% sicher. Und man möchte den Vorwurf einer Salamitaktik vermeiden.
Das wäre ja auch Marketing technisch ein Gau.
Ich finde solche Art des Consumer Service gut und sinnig. Hätte Intel auch gleich so machen sollen, anstatt monatelang nichts zu tun
 
R-47 schrieb:
Früher wurde Schadcode verwendet, um Admin-Rechte zu bekommen..
Heute werden Admin-Rechte benötigt. um Schadcode verwenden zu können..
Wahrscheinlich ist das so eine Lücke für die man beim booten am Rechner aktiv sein muss, also effektiv gar keine Lücke.
 
Redirion schrieb:
"AGESA-Patch" "AGESA-Update".
Was heißt das? Verstehe ich doch richtig, dass dann beispielsweise 1.0.0.6B rauskommen wird? Dann hätten wir 300er-Chipsatzkunden immerhin eine Art Druckmittel doch noch BIOS-Updates zu veröffentlichen. Immerhin geht es um eine Sicherheitslücke.

Ich hoffe es, zumindest dass mit den Sicherheitsupdates per BIOS-Updates auch Zen3 CPU-Unterstützung dazu kommt, aber sie könnten sich auch einfach nur dazu entscheiden die Sicherheitslücken zu schließen ohne ein Support für Zen3.
 
  • Gefällt mir
Reaktionen: NMA
Shririnovski schrieb:
Schade, dass die genauen CPUs nicht bekannt sind,
Abwarten, so etwas zu verifizieren kann dauern. Man stelle sich vor die Liste würde alle paar Tage aktualisiert werden müssen. So ist das schon ganz ok. Und da wohl physischer Zugriff erforderlich ist sehe ich das (nicht nur bei AMD) nicht so eng.
 
Volker schrieb:
Ist dies vollbracht, könnte die AMD Generic Encapsulated Software Architecture (AGESA) manipuliert werden um schadhaften Code auszuführen.

Schadcode != schadhafter Code
Ergänzung ()

Neodar schrieb:
[...] es dauert nicht noch Monate, bis sich was tut.

Ohne zu wissen seit wann der Fehler bei AMD bekannt ist ...kein Grund zur Freude.
 
  • Gefällt mir
Reaktionen: Dome87 und koech
PS828 schrieb:
Wenn die Lücke keine Leistung kostet und schnell gepatcht wird.. Gibt schlimmeres.

Immerhin kann keiner mehr behaupten "bei AMD sucht ja keiner" das war schon immer Blödsinn.
Fakt ist einfach dass AMD beim Design von ZEN auch auf Sicherheitsaspekte Wert gelegt hat und dessen ständige Prüfung und Validierung ein wichtiger Bestandteil dieser Sicherheitskultur ist.

Wie alt war die Core Architektur als die vielen Sicherheitslücken entdeckt und bekannt wurden?
Wie alt ist die Zen Architektur nun?
Wie verbreitet waren die Core Prozessoren?
Wie verbreitet sind die Zen Prozessoren?

Und hast du auch Belege dafür, dass das Interesse an Ryzen Lücken von Beginn an genauso groß war / ist wie an den lange und weit verbreiteten Core Prozessoren? Meiner Meinung nach kann man einen objektiven Vergleich erst in 5-8 Jahren ziehen!
 
  • Gefällt mir
Reaktionen: chris333, PPPP, koech und 2 andere
Rockstar85 schrieb:
Das wäre ja auch Marketing technisch ein Gau.
Ich finde solche Art des Consumer Service gut und sinnig. Hätte Intel auch gleich so machen sollen, anstatt monatelang nichts zu tun
Intel hat 10x mehr Chips, Plattformen und CPUs als AMD. Und alles davon musste auf den Prüfstand.
Außerdem ist die Komplexität eine ganz andere, bzw. der Fehler an einer ganz anderen Stelle.
Das sind mMn Äpfel mit Birnen verglichen. Wer davon ausgeht dass Intel da monatelang lang nur in
der Nase gebohrt hat, überschaut nicht die Ausmaße einer solchen Lücke und wieviel Zeit so ein Fix
für so viele unterschiedliche Produkte in Anspruch nimmt (und einige Probleme sind ja nach wie vor da).
Die Kommunikation zum Kunden hin hätte man aber sicherlich besser machen können. Die lange
Ungewissheit (/=Untätigkeit) hat Intels Ansehen nachhaltig beschädigt, das kann man schon so sehen.
 
  • Gefällt mir
Reaktionen: Hayda Ministral und Transistor 22
Zurück
Oben