AMD best채tigt L체cken Ryzenfall & Co. und k체ndigt Updates an

Heu짯te Nacht unse짯rer Zeit hat AMD die k체rz짯lich publi짯zier짯ten Sicher짯heits짯l체짯cken in aktu짯el짯len AMD-Platt짯for짯men best채짯tigt, die durch die Sicher짯heits짯fir짯ma CTS-Labs ver짯철f짯fent짯licht wor짯den waren. Das White짯pa짯per hat짯te gro짯횩en Wir짯bel ver짯ur짯sacht, da CTS-Labs bei der Auf짯de짯ckung nicht den 체bli짯chen Weg beschrit짯ten hat짯te, den Her짯stel짯ler 45 oder 90 Tage vor짯ab zu infor짯mie짯ren, kei짯nen Com짯mon Vul짯nerabi짯li짯ties and Expo짯sures (CVE) Ein짯trag vor짯ge짯nom짯men hat짯te und sich mit Fake-B체ro-Fotos per Green-Box zu pro짯fi짯lie짯ren ver짯such짯te. Zudem war das White짯pa짯per unge짯w철hn짯lich scharf und h채misch ver짯fasst. Allein die Code짯na짯men der Bugs Ryzen짯fall oder pho짯ne짯tisch rise and fall (engl. f체r Auf짯stieg-und-Absturz) lie짯횩en vie짯le Beob짯ach짯ter an der Inten짯ti짯on der Ver짯fas짯ser zwei짯feln. Bei den Chi짯me짯ra-Bugs, wel짯che auf zuge짯kauf짯te Tech짯no짯lo짯gie von ASMe짯dia zur체ck짯zu짯f체h짯ren sind, wur짯de zudem nur AMD als betrof짯fen erw채hnt, obwohl ASMe짯dia-Con짯trol짯ler auch auf vie짯len Intel-Pla짯ti짯nen zu fin짯den sind; in der St체ck짯zahl auf짯grund des hohen Markt짯an짯teils ver짯mut짯lich sogar auf weit mehr als auf AMD-Platt짯for짯men. Dass zudem mit Vice짯roy Rese짯arch noch eine Fir짯ma auf den Zug auf짯ge짯sprun짯gen ist, gegen die in meh짯re짯ren L채n짯dern wegen mut짯ma횩짯li짯cher Kurs짯ma짯ni짯pu짯la짯ti짯on an der B철r짯se ermit짯telt wird, lie횩 die Akti짯on nicht seri철짯ser erscheinen.

Da AMD erst weni짯ger als einen Tag vor Ver짯철f짯fent짯li짯chung infor짯miert wor짯den war, bat man um etwas Zeit, die Sache zu pr체짯fen. Inzwi짯schen hat AMD-CTO Mark Paper짯mas짯ter in einem Blog-Ein짯trag die L체cken best채짯tigt und n채her ausgef체hrt:

Secu짯ri짯ty and pro짯tec짯ting users data is of the utmost importance to us at AMD and we have work짯ed rapidly to assess this secu짯ri짯ty rese짯arch and deve짯lop miti짯ga짯ti짯on plans whe짯re nee짯ded. This is our first public update on this rese짯arch, and will cover both our tech짯ni짯cal assess짯ment of the issues as well as plan짯ned miti짯ga짯ti짯on actions.

The secu짯ri짯ty issues iden짯ti짯fied by the third-par짯ty rese짯ar짯chers are not rela짯ted to the AMD 쏾en CPU archi짯tec짯tu짯re or the Goog짯le Pro짯ject Zero exploits made public Jan. 3, 2018. Ins짯tead, the짯se issues are asso짯cia짯ted with the firm짯ware mana짯ging the embedded secu짯ri짯ty con짯trol pro짯ces짯sor in some of our pro짯ducts (AMD Secu짯re Pro짯ces짯sor) and the chip짯set used in some socket AM4 and socket TR4 desk짯top plat짯forms sup짯port짯ing AMD processors.

Aller짯dings beton짯te Paper짯mas짯ter, dass zur Aus짯nut짯zung der L체cken ein poten짯zi짯el짯ler Angrei짯fer vol짯le Zugriffs짯rech짯te auf das Sys짯tem haben muss. Mit die짯sen Rech짯ten aus짯ge짯stat짯tet sind Ryzen짯fall & Co. jedoch im Grun짯de schon wie짯der irrele짯vant, denn wenn der Angrei짯fer es so weit gebracht hat, die L체cken aus짯nut짯zen zu k철n짯nen, hat er ja bereits vol짯le Sys짯tem짯rech짯te und ben철짯tigt die L체cken zur Aus짯nut짯zung gar nicht mehr. Den짯noch ver짯sprach AMD, die L체cken per Firm짯ware-Updates zu schlie짯횩en. Dies soll in den n채chs짯ten Wochen pas짯sie짯ren und ohne Leis짯tungs짯ver짯lust einhergehen.