AMD bestätigt Lücken Ryzenfall & Co. und kündigt Updates an

Heu­te Nacht unse­rer Zeit hat AMD die kürz­lich publi­zier­ten Sicher­heits­lü­cken in aktu­el­len AMD-Platt­for­men bestä­tigt, die durch die Sicher­heits­fir­ma CTS-Labs ver­öf­fent­licht wor­den waren. Das White­pa­per hat­te gro­ßen Wir­bel ver­ur­sacht, da CTS-Labs bei der Auf­de­ckung nicht den übli­chen Weg beschrit­ten hat­te, den Her­stel­ler 45 oder 90 Tage vor­ab zu infor­mie­ren, kei­nen Com­mon Vul­nerabi­li­ties and Expo­sures (CVE) Ein­trag vor­ge­nom­men hat­te und sich mit Fake-Büro-Fotos per Green-Box zu pro­fi­lie­ren ver­such­te. Zudem war das White­pa­per unge­wöhn­lich scharf und hämisch ver­fasst. Allein die Code­na­men der Bugs – Ryzen­fall oder pho­ne­tisch rise and fall (engl. für Auf­stieg-und-Absturz) – lie­ßen vie­le Beob­ach­ter an der Inten­ti­on der Ver­fas­ser zwei­feln. Bei den Chi­me­ra-Bugs, wel­che auf zuge­kauf­te Tech­no­lo­gie von ASMe­dia zurück­zu­füh­ren sind, wur­de zudem nur AMD als betrof­fen erwähnt, obwohl ASMe­dia-Con­trol­ler auch auf vie­len Intel-Pla­ti­nen zu fin­den sind; in der Stück­zahl auf­grund des hohen Markt­an­teils ver­mut­lich sogar auf weit mehr als auf AMD-Platt­for­men. Dass zudem mit Vice­roy Rese­arch noch eine Fir­ma auf den Zug auf­ge­sprun­gen ist, gegen die in meh­re­ren Län­dern wegen mut­maß­li­cher Kurs­ma­ni­pu­la­ti­on an der Bör­se ermit­telt wird, ließ die Akti­on nicht seriö­ser erscheinen.

Da AMD erst weni­ger als einen Tag vor Ver­öf­fent­li­chung infor­miert wor­den war, bat man um etwas Zeit, die Sache zu prü­fen. Inzwi­schen hat AMD-CTO Mark Paper­mas­ter in einem Blog-Ein­trag die Lücken bestä­tigt und näher ausgeführt:

Secu­ri­ty and pro­tec­ting users’ data is of the utmost importance to us at AMD and we have work­ed rapidly to assess this secu­ri­ty rese­arch and deve­lop miti­ga­ti­on plans whe­re nee­ded. This is our first public update on this rese­arch, and will cover both our tech­ni­cal assess­ment of the issues as well as plan­ned miti­ga­ti­on actions.

The secu­ri­ty issues iden­ti­fied by the third-par­ty rese­ar­chers are not rela­ted to the AMD “Zen” CPU archi­tec­tu­re or the Goog­le Pro­ject Zero exploits made public Jan. 3, 2018. Ins­tead, the­se issues are asso­cia­ted with the firm­ware mana­ging the embedded secu­ri­ty con­trol pro­ces­sor in some of our pro­ducts (AMD Secu­re Pro­ces­sor) and the chip­set used in some socket AM4 and socket TR4 desk­top plat­forms sup­port­ing AMD processors.

Aller­dings beton­te Paper­mas­ter, dass zur Aus­nut­zung der Lücken ein poten­zi­el­ler Angrei­fer vol­le Zugriffs­rech­te auf das Sys­tem haben muss. Mit die­sen Rech­ten aus­ge­stat­tet sind Ryzen­fall & Co. jedoch im Grun­de schon wie­der irrele­vant, denn wenn der Angrei­fer es so weit gebracht hat, die Lücken aus­nut­zen zu kön­nen, hat er ja bereits vol­le Sys­tem­rech­te und benö­tigt die Lücken zur Aus­nut­zung gar nicht mehr. Den­noch ver­sprach AMD, die Lücken per Firm­ware-Updates zu schlie­ßen. Dies soll in den nächs­ten Wochen pas­sie­ren und ohne Leis­tungs­ver­lust einhergehen.