ComputerBase Menü
Registrieren
Suche
  2. News
  3. Prozessoren

AMD Epyc: Kritisches Sicherheitsleck in Server-CPUs geschlossen

Michael Günsch
10 Kommentare
AMD Epyc: Kritisches Sicherheitsleck in Server-CPUs geschlossen
Bild: AMD

Sicherheitsforscher von Google haben AMD auf eine Sicherheitslücke in seinen Server-Prozessoren aufmerksam gemacht. Durch eine unsachgemäße Signaturüberprüfung könne ein lokaler Angreifer schadhaften Firmware-Code laden. Dieser benötigt dafür allerdings Administratorrechte. Dennoch wird das Risiko als „hoch“ eingestuft.

Das inzwischen per Firmware-Update geschlossene Sicherheitsleck mit der Kennung CVE-2024-56161 betrifft laut AMD die Server-Prozessoren der Serien Epyc 7001 (Naples), Epyc 7002 (Rome), Epyc 7003 (Milan, Milan-X) und Epyc 9004 (Genoa, Genoa-X, Bergamo, Siena). Es sind also CPUs der Architekturen Zen 1 bis Zen 4 betroffen. Die aktuellen Epyc 7005 und 9005 mit Zen-5-Kernen sind angeblich nicht darunter.

Improper signature verification in AMD CPU ROM microcode patch loader may allow an attacker with local administrator privilege to load malicious CPU microcode resulting in loss of confidentiality and integrity of a confidential guest running under AMD SEV-SNP.

AMD

Google Security meldete das Leck bereits im September

Die Schwachstelle hatten Forscher vom Google Security Team bereits im September 2024 an AMD gemeldet. Wie üblich wurde Stillschweigen gewahrt, damit potenzielle Angreifer nicht davon erfahren.

Ein Fix folgte im Dezember

Am 17. Dezember hat AMD schließlich seinen Geschäftskunden ein Firmware-Update zur Verfügung gestellt, mit dem die Schwachstelle geschlossen wurde. Damit diese Zeit hatten, das Update aufzuspielen, wurde die Sicherheitslücke erst am 3. Februar 2025 publik gemacht.

Die Google-Forscher haben aber noch nicht alle Details verraten und wollen dies erst am 5. März tun, um weitere Zeit zur Festigung der Systeme zu gewähren.

Aufgrund der umfangreichen Lieferkette, Abfolge und Koordination, die zur Behebung dieses Problems erforderlich sind, werden wir zu diesem Zeitpunkt nicht alle Details bekannt geben, um den Benutzern Zeit zu geben, das Vertrauen in ihre vertraulichen Rechenlasten wiederherzustellen. Wir werden am 5. März 2025 weitere Details und Tools bekannt geben.

Google Security Team

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz