Notiz UEFI/AGESA-Patch nötig: Sicherheitslücke in AMD-APUs von 2016 bis 2019

[PS828]

@tstorm Die Fragen kannst du dir selbst beantworten. Seit wann wird Sicherheitskritische Forschung dahingehend betreiben? Und wie groß sind die Einschnitte entsprechender Probleme?

Das Lücken früher oder später gefunden werden als andere sagt nichts über die Intensität aus mit der danach gesucht wurde. Gravierende Fehler in der Sprungvorhersage oder SMT/ HT übersieht man nicht einfach jahrelang. Erst wenn danach gesucht wird kann man etwas finden. Hinzu kommt noch das wir nicht wissen wie lange bestimmte Lücken intern schon bekannt waren.

Fragen über Fragen, der Rest ist pure Spekulation und führt zu nichts.

 

[Rockstar85]

Intel hat 10x mehr Chips, Plattformen und CPUs als AMD. Und alles davon musste auf den Prüfstand.

Ich will ja Nichts sagen, aber Intel hat es 1. dementiert, 2. Klein gespielt und 3. mit fragwürdigen Aktionen versucht AMD an den Karren zu pissen..
Okay war letztes Jahr, aber ich weiß noch sehr wohl, was da Lief..
https://www.crn.de/security/super-gau-fuer-die-it-branche.115839.html
Das ist dann exakt das Gegenteil von dem was AMD hier macht.

 

[ChrFr]

Derweil bringt IntelliJ Intel´s Ice-Lake-CPU zum Absturz...🙄und das ist ein Problem aus der Praxis.

Wie der tschechische Anbieter von Software-Entwicklungswerkzeugen, JetBrains, herausgefunden hat, kann es bei Systemen mit Ice-Lake-CPU in Verbindung mit der Java-Umgebung zu Abstürzen bei der Verwendung von IntelliJ kommen.

Quelle: TweakPC @Volker
Zum Thema: So denn alle das Agesa Update für das Problem bekommen und nicht rumgedruckst wird, sehe ich das nicht als Game Breaker.

MfG
Christian

 

[FGA]

Mir alles egal, Hauptsache mein PC rechnet. Dafür wurde er angeschafft. Was er berrechnet spielt letzlich keine Rolle, ob nun Musik, Spiele oder Videos.

 

[Ernie75]

Vielleicht ist das auch noch nicht 100% sicher. Und man möchte den Vorwurf einer Salamitaktik vermeiden.

Und @Shririnovski Na ja, vielleicht wollen sie es einfach deswegen nicht bekannt geben, weil dann alle Mainboards die sicher sein wollen, daß Update einspielen müssten und so dann deutlich mehr Systeme sicher wären. 😉
Obwohl diese Art keine so gute Idee wäre, wie ich finde.
Ich denke allerdings auch eher. Daß sie eventuell noch einige CPUs prüfen müssen. Und dann lieber alles in einem Aufwasch erledigen.

Ich finde es jedenfalls gut, daß sie so handeln, denn das wirkt auf mich sehr zügig und offen.
Bin gespannt, ob es für mein B350 denn auch ein Update gibt.

 

[Iscaran]

Leute....das ist alles zwar "unschön". Aber wirklich leicht zu patchen und kostet keine Performance.

Und einen Admin-Like Hardwarezugang zu haben ist natürlich auch eine Bedingung die eben nicht so kritisch ist für viele Fälle.

Hier ist es ausführlich dargelegt: https://medium.com/@dannyodler/attacking-the-golden-ring-on-amd-mini-pc-b7bfb217b437

Zur Timeline: Entdeckt am 2. April 2020. Von AMD bestätigt am 16.4.2020. Fix ab heute im ausrollen via BIOS Updates.

AMD -2020–0039 — Assigned as CVE-2020–14032; Severity High; 2/4/20 reported; 16/4/20 approved as vulnerability; 8/6/20 fixed version released.

Übrigens der Entdecker der Lücken sagt folgendes: " Good words also to AMD and ASRock for their fast response and quick fix release. "

Von mir übersetzt: "Gute Worte an AMD und ASRock für ihre schnelle Reaktion und schnellen Fix release."

Die Lücke(n) sind laut Aussage des Entdeckers auch schon gefixed:
"This vulnerability was fixed by adding several checks to destination buffer and other pointers such that they do not point to SMRAM regions. "

 

[PPPP]

Wenn die Lücke keine Leistung kostet und schnell gepatcht wird.. Gibt schlimmeres.

Immerhin kann keiner mehr behaupten "bei AMD sucht ja keiner" das war schon immer Blödsinn.
Fakt ist einfach dass AMD beim Design von ZEN auch auf Sicherheitsaspekte Wert gelegt hat und dessen ständige Prüfung und Validierung ein wichtiger Bestandteil dieser Sicherheitskultur ist.

Selbstverständlich wird bei Intel eher gesucht, Stichwort Bug Bounty Program - etwas vergleichbares gibt es bei AMD nicht. Kein Geld - kein Anreiz. Dazu hat es bis vor Kurzem aufgrund der geringen Marktpräsenz auch keine mediale Aufmerksamkeit gebracht.

 

[CastorTransport]

Intel hat 10x mehr Chips, Plattformen und CPUs als AMD. Und alles davon musste auf den Prüfstand.
Außerdem ist die Komplexität eine ganz andere,....

Lalalalaaaaalaalaaaa... Und Intel hat >100 Sicherheitslücken in deren CPUs, also kommt es wohl doch auf einen Nenner raus.

Aber hey - da ist er ja, der erste Intel-ist-gar-nicht-so-schlimm-Beitrag ^^

 

[andi_sco]

23:15:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Who you gonna call? The Ghostbusters

 

[DerJungeDerIst]

Modelle ohne integrierte Grafikeinheit, wie zum Beispiel einen 3700X, sind davon nicht betroffen, oder?

 

[LukS]

Modelle ohne integrierte Grafikeinheit, wie zum Beispiel einen 3700X, sind davon nicht betroffen, oder?

Ja, es dürfte nur APU betroffen sein. Reine CPU, wie der 3700X, sind damit aus dem Schneider.

 

[Ex3cuter]

Ich wette auch bei Ryzen Desktop CPUs ließe sich was finden, wenn ein windiger Hacker tief genug bohrt. Das ist eben das Problem was viele nicht verstehen, als Sie Intel ausgelacht haben. Jedes System hat Lücken, ob schwerwiegend kleine, einfach. komplizierte. Vlt. kann sich in Zukunft die Künstliche Intelligenz sich selbst Fixen aber das ist noch Science Fiction.

 

[aldaric]

Das ist eben das Problem was viele nicht verstehen, als Sie Intel ausgelacht haben.

Niemand hat Intel wegen den Lücken ausgelacht. Sondern ihren Umgang mit diesen.

Was man Intel jedoch unterstellen kann, dass sie seit 2005/2006 untätig waren, obwohl es große Sicherheitsbedenken wegen ihrem Hyperthreading gab. Man hat das einfach unter den Teppich gekehrt und Performance über Sicherheit gestellt.

 

[Chismon]

Glueck gehabt, dass ich erst jetzt mit einer AMD APU (Ranoir) einsteigen werde, aber gut moeglich, dass dort dann auch irgendwann eine Sicherheitsluecke geschlossen werden muss.

Solange diese identifiziert und dann gehandelt wird, sehe ich da weniger Probleme, es sei denn das Patchen ginge massiv auf die Leistung, aber hoffentlich bleibt einem das erspart.

 

[deineMudda]

Was um alles in dieser Welt bedeutet dieser Satz?
"Wie bei vielen CPU-Lücken ist die Startbedingung bereits der erste Schwierigkeitsgrad, da direkter Zugriff auf das System oder zumindest Administratorrechte benötigt werden."

 

[modena.ch]

Selbstverständlich wird bei Intel eher gesucht, Stichwort Bug Bounty Program - etwas vergleichbares gibt es bei AMD nicht. Kein Geld - kein Anreiz. Dazu hat es bis vor Kurzem aufgrund der geringen Marktpräsenz auch keine mediale Aufmerksamkeit gebracht.

Wird bei Intel ein Problem gefunden, wird der AMD Prozessor selbstverständlich auch von vielen auf denselben Fehler getestet. Und selten waren sie erfolgreich.

Man kann also schon sagen, dass AMD mehr Wert auf Sicherheit gelegt hat.
Stand jetzt sind sie massiv sicherer.

@deineMudda
Das heisst, wenn ich erst Adminrechte brauche um ein System über AGESA anzugreifen,
ist es nicht wirklich tragisch. Weil wenn ich sowieso Adminrechte habe, wieso sollt ich dann über das AGESA
versuchen einzudrigen? Da kann ich eh schon alles damit machen.